Mondo
Le applicazioni mobili continuano a riservare sorprese non proprio piacevoli in fatti di sicurezza: dopo il caso delle ‘app spione’ esploso a dicembre dello scorso anno (leggi articolo Key4biz) la società viaForensics ha infatti scoperto che le app mobili di popolari servizi come LinkedIn, Netflix, Foursquare e Square memorizzano sui dispositivi i dati personali degli utenti in formato testo, esponendoli alle incursioni dei malintenzionati che sempre più spesso prendono di mira gli smartphone oltre che i Pc.
Roba da ‘principianti’, dicono gli osservatori. Niente sembrano avere insegnato i casi precedenti, in seguito ai quali ci sarebbe aspettata maggiore attenzione sul versante della sicurezza delle app.
Le applicazioni Android di Foursquare, il social network basato sulla geolocalizzazione, LinkedIn e Netflix conservano i dati personali e le password in forma di testo, cioè non criptati, sui dispositivi, in violazione – spiega viaForensic – non solo del buonsenso, ma anche delle best practice comunemente accettate in materia di sicurezza: sono molte, infatti, le persone che usano lo stesso username e la stessa password per diversi servizi. Una loro violazione, quindi, permetterebbe agli hacker di accedere ai diversi account di uno stesso utente.
Anche l’app per iPhone del sistema di pagamento mobile Square (molto usato negli Usa ma pressoché sconosciuto qui da noi) espone a eventuali incursioni hacker i dati delle transazioni effettuate dagli utenti.
Secondo quanto scoperto da viaForensic, le app in questione espongono alla violazione anche altri dati come le email inviate ai membri di LinkedIn o la cronologia di ricerca nella scheda ‘luoghi’ di Foursquare.
Certo, sottolinea la società, ci vuole abilità e fortuna per sfruttare questa vulnerabilità ma queste doti non mancano di sicuro agli hacker, che in numero sempre maggiore penetrano nei sistemi informatici di grosse società (leggi articolo Key4biz) e stanno ora indirizzando le loro mire agli smartphone, in uno scenario che potrebbe aprire rischi ancora più seri di quelli creati dal ‘semplice’ furto delle password.
“I dati non dovrebbero in alcun modo essere conservati su un telefonino e nel caso in cui questo accadesse, dovrebbero comunque essere protetti da una cifratura”, ha sottolineato Andrew Hoog, chief investigative officer di viaForensics.
Alla luce dei molti casi emersi finora, ci si aspetterebbe forse una maggiore attenzione da parte degli sviluppatori e delle società che gestiscono gli app store, ma la corsa al primato in questo settore evidentemente fa scivolare il fattore sicurezza in secondo piano. Anche Hoog ha ammesso che “la sicurezza non è una priorità per gli app developer”.
La portavoce di Square, Katie Baynes, ha spiegato che la società conserva le informazioni identificative all’interno del telefono – incluso il nome dell’utente e le ultime 4 cifre del numero della carta di credito – in quanto “elementi necessari utilizzati dalle imprese per monitorare le transazioni”.
La Baynes ha tuttavia sottolineato che l’app è stata sottoposta al vaglio del PCI Security Standards Council, un forum che fissa i requisiti tecnici per la sicurezza dei dati, fondato da società quali American Express e Visa.
Foursquare ha ammesso di essere a conoscenza della vulnerabilità e che il 7 giugno ha inviato agli utenti Android un aggiornamento per garantire la sicurezza di username e password, assicurando anche che la cronologia delle query di ricerca viene cancellata quando l’utente disinstalla l’applicazione o cancella i dati dalla pagina delle impostazioni del dispositivo.
Anche Netflix e Linkedin, allertati sulla falla, starebbero apportando i necessari cambiamenti all’app, così da mettere in sicurezza i dati sensibili degli utenti.
Un portavoce di Google ha quindi garantito che la società incoraggia gli sviluppatori Android a seguire una serie di linee guida sulla sicurezza, ma sul suo blog ricorda che sono gli sviluppatori responsabili di come vengono gestiti i dati tramite le loro applicazioni.
