Privacy a rischio: migliaia di app Android e iOS si fanno "sfuggire" i tuoi dati

Migliaia di applicazioni per Android e iOS si lasciano "sfuggire" i dati personali degli utenti, a causa di configurazioni errate dei server e incuria

Privacy a rischio: migliaia di app Android e iOS si fanno "sfuggire" i tuoi dati

Tutti siamo chiamati a proteggere dati e dispositivi al fine di salvaguardare la nostra privacy, ma siamo certi sia sufficiente? Talvolta i rischi possono essere legati non a disattenzioni o a un uso superficiale degli strumenti da parte dell'utente finale, bensì a pratiche poco virtuose attuate da chi fornisce servizi, piattaforme e software. Un problema dalla portata enorme, ma che fa solitamente meno scalpore rispetto a bug e vulnerabilità, capace di interessare un numero molto elevato di applicazioni iOS e Android distribuite attraverso gli store ufficiali. È quanto emerge dallo studio appena pubblicato da Zimperium.

La società, specializzata in soluzioni per la sicurezza, ha condotto un'analisi approfondita su un totale pari a 1,3 milioni di app al fine di individuare errori di configurazione nei server cloud che ne ospitano le informazioni. Il risultato è tutt'altro che rassicurante: circa il 14% di quelle che si affidano a fornitori come Amazon Web Services, Google Cloud o Microsoft Azure (più precisamente 6.608 iOS e 11.877 Android) è responsabile di una qualche forma di esposizione di dati personali, password e persino di informazioni relative all'ambito medico.

A rendere la situazione ancor più inquietante il fatto che, dopo aver provato a contattare alcuni degli sviluppatori in questione per avvisarli delle falle, il riscontro ottenuto da Zimperum è stato minimo: nella maggior parte dei casi il problema non viene risolto e nemmeno preso in considerazione.

Per questo motivo i ricercatori non hanno pubblicato l'elenco con i nomi delle applicazioni coinvolte, si rischierebbe altrimenti di favorire l'azione dei malintenzionati. È stato però reso noto che in un caso si tratta di un portafoglio digitale (wallet) delegato alla gestione delle finanze, offerto da una società presente nella graduatoria Fortune 500. Insomma, non esattamente un giochino sconosciuto.

Non è tutto: in alcuni casi non solo è possibile accedere alle informazioni esposte scaricandole per farne poi usi non consentiti, ma addirittura modificarle, mostrando così il fianco a raggiri, truffe e abusi di ogni tipo. Tutto questo in conseguenza a errori di configurazione solo apparentemente banali, in primis per quanto riguarda la concessione dei permessi, che in molti casi potrebbero essere evitati con un briciolo di attenzione in più da parte di chi sviluppa.

Commenti