Non passa giorno che Android non debba confrontarsi con una nuova emergenza informatica, che mette a dura prova la sicurezza dei suoi utenti, spesso soggetti a bug, vulnerabilità, data breach, e truffe. A volte, come emerso nelle scorse ore, in cui si è scoperta una vulnerabilità in circa 24 mila app legittime, e rimosso più di 800 creepware, le minacce sono addirittura due.
Nel primo caso, la security house britannica Comparitech ha scoperto come pressappoco 24 mila applicazioni (circa 24% giochi, 14% educativi, 5% business, 6% intrattenimento, 4% viaggi), scaricate per un totale di 4.22 miliardi volte dal Play Store di Android, abbiano mal settato alcuni parametri di sicurezza relativi alla piattaforma, di sviluppo e hosting, Firebase che – proprietà di Google dal 2014 – offre supporto a più di 1.5 milioni di app. Secondo la fonte, ciò potrebbe permettere a dei malintenzionati di accedere, presso i server di Firebase, ai dati raccolti dalle app in oggetto, tra cui indirizzi ip, mail, password, e numeri telefonici: per fortuna, Google, pre-avvertita del problema prima che fosse reso noto, ha principiato a interpellare i developer affinché tappino tale falla nelle rispettive app.
Non meno grave è quanto appurato di ricercatori dei laboratori Cornell Tech presso la Cornell University di New York i quali, nell’ambito del progetto di ricerca “The Many Kinds of Creepware Used for Interpersonal Attacks”, analizzando i dati spersonalizzati di 50 milioni di device protetti dagli antivirus Norton/Symantec, hanno scoperto come 1.095 app, secondo l’algoritmo CreepRank, avessero un alto voto (“creep score”) nella scala relativa ai software di spionaggio, che molestano, pedinano digitalmente, e truffano gli utenti.
Nello specifico, nell’insieme in oggetto, vi erano app che potevano accedere alla galleria delle immagini, estrarre gli SMS dallo smartphone, tracciare la posizione dell’utente, far installare altre app, condurre attacchi Denial of Services (DoS), simulare l’identità di un utente terzo negli SMS e nelle app di messagistica, etc.
Google, anche in questo caso messa al corrente del problema, ha subito già rimosso 813 creepware, accusati di aver violato le condizioni e i termini di utilizzo previsti quale requisito sine qua non per la pubblicazione nel Play Store di Android.