Quando si ha a che fare con un’app molto popolare, il minimo che ci si possa aspettare è che la stessa sia molto sicura. Così non sembra essere la famosa applicazione SHAREit che, scaricata in più di 200 paesi per un totale di oltre 1.8 miliardi di download, esporrebbe, a causa dell’incuria dei suoi sviluppatori, gli utenti della piattaforma Android a diversi pericoli.
SHAREit è un’applicazione, sviluppata dalla singaporiana Smart Media4U Technology Pte. Ltd, un tempo integrata sui dispositivi Lenovo, comunemente adoperata dagli utenti per trasferire o condividere dati e file da un dispositivo all’altro, proprio o di altri, eliminando la necessità di eseguire tale passaggio tramite il ricorso ai cavi. Sottoposta a un’analisi del ricercatore Echo Duan, in forze presso la security house nippo-californiana Trend Micro, l’app in questione ha rivelato diverse vulnerabilità a carico delle sue routine.
Nel caso specifico, sarebbe possibile inoltrare comandi all’app per far eseguire codice malevolo sul dispositivo esposto, installare app di terze parti, o sovrascrivere i file stessi dell’app in questione, senza che l’utente se ne avveda, dacché l’app non esercita alcun controllo sulla fonte da cui tali azioni vengono richieste.
Il tutto rientrerebbe nell’ambito dei potenziali attacchi noti come Man-in-the-Disk, portati alla ribalta nel 2018 dai ricercatori dell’israeliana Check Point, in base ai quali il problema risiederebbe nel fatto che le app, spesso per condividere i file tra di loro, li stoccano nella memoria esterna (microSD o una partizione dello storage), condivisa, anziché su quella a loro assegnata, isolata dalla modalità a bolla, sandbox, di Android.
Trend Micro ha avvertito gli sviluppatori di SHAREit ben 3 mesi fa, dando loro l’opportunità di correggere i problemi, senza però ottenere mai alcuna risposta: giunti a tal punto, si è quindi preferito avvisare Google affinché proceda con la rimozione dell’app (ancora presente sul Play Store), e si è proceduto col rendere noto tale problematica agli utenti, affinché procedano, se del caso, alla relativa disinstallazione, in favore di app equivalenti (es. Zapya) più sicure.