fbpx
NewsTech

14 delle migliori app Android non proteggono i dati sensibili degli utenti

I loro database espongono senza alcuna autenticazione i dati degli utenti

I ricercatori sulla sicurezza di CyberNews hanno scoperto che 14 tra le migliori app Android, scaricate da oltre 140 milioni di persone in totale, non proteggono i dati utente a causa di configurazioni errate di Firebase. I dati esposti includono potenzialmente nomi degli utenti, e-mail, nomi utente e altro.

14 app Android mettono a rischio i dati degli utenti

Se avete un’app Android installata sul vostro smartphone (chi non ne ha?), è molto probabile che utilizzi Firebase. Con una base mensile attiva di oltre 2,5 milioni di app, Firebase è una piattaforma di sviluppo di applicazioni mobili che offre una moltitudine di funzioni utili, tra cui analisi, hosting e cloud storage in tempo reale.

Nel 2014, la piattaforma è stata acquisita da Google e da allora è diventata una delle soluzioni di archiviazione dati in tempo reale più popolari sul mercato per le app Android. Utilizzando Firebase, gli sviluppatori possono archiviare comodamente nel cloud token di autenticazione, credenziali utente; dati personali e altri tipi di informazioni relative alle app.

Alla luce di ciò, il team di CyberNews ha deciso di analizzare oltre un migliaio di app principali su Google Play e vedere quante stavano archiviando i propri dati su database in tempo reale Firebase in modo non sicuro. E vi anticipiamo già che le notizie non sono per nulla positive.

Secondo quanto riporta proprio CyberNews, 14 delle migliori app Android, con un totale di 142,5 milioni di installazioni, avevano errori di configurazione di Firebase. Permettendo quindi agli investigatori e a chiunque conosca l’URL giusto di accedere ai database in tempo reale. Di conseguenza anche a tutte le informazioni sugli utenti memorizzate senza alcun tipo di autenticazione.

Il 14 settembre, i ricercatori di CyberNews hanno riferito i loro risultati a Google e si sono offerti di aiutare gli sviluppatori delle app esposte a proteggere i loro database in tempo reale. Sfortunatamente, Google ha ignorato l’offerta e non ha risposto.

La conseguenza è che 9 delle 14 app Android più diffuse, che non hanno risposto alle richieste di CyberNews e che potevano essere protette solo con l’assistenza di Google, continuano a divulgare i dati di oltre 30,5 milioni di utenti.

Le app che hanno risolto subito la problematica

Ecco un esempio di un’app di oroscopo, installata da almeno 500.000 utenti, il cui database in tempo reale esposto contiene tabelle intitolate “chat” e “utenti”:

app android dati utenti
Photo: CyberNews.

Secondo il ricercatore di CyberNews Martynas Vareikis, ciò indica che l’app mostra non solo i dati degli utenti, ma anche i loro messaggi privati ​​a chiunque possa accedervi e utilizzarli come preferisce.

Altri esempi includono Universal TV Remote Control, probabilmente l’app remota TV più popolare con oltre 100 milioni di download su Google Play. E Remote for Roku: Codematics, che è stato installato da oltre un milione di utenti Android. Entrambe le app hanno sofferto di errori di configurazione dell’accesso a Firebase, con conseguente potenziale perdita di dati dell’utente.

Avere le proprie informazioni personali lasciate esposte è abbastanza spaventoso. Ma divulgare i dati dei propri figli e la loro posizione a potenziali intercettatori può essere molto più pericoloso. È il caso di Find My Kids: Child Cell Phone Location Tracker, un’app di localizzazione scaricata da almeno 10 milioni di genitori. L’app ha lasciato il database in tempo reale di Firebase esposto per un periodo di tempo sconosciuto.

L’app ti consente di monitorare la posizione di proprio figlio, le statistiche sull’utilizzo del telefono, ascoltare un flusso audio in diretta dal microfono del telefono e chiamarlo quando è disattivato, tutto in tempo reale. Una tale app che lascia il suo database in tempo reale all’aperto potrebbe portare a conseguenze disastrose per i bambini.

Google non ha mai risposto agli avvertimenti

Per fortuna gli sviluppatori delle quattro app citate sono stati avvisati da CyberNews e hanno disattivato prontamente il database. Gli sviluppatori di Find My Kids hanno anche aggiunto di non aver mai utilizzato il database Firebase, che era stato creato per un test. Purtroppo però, le altre nove app non hanno risposto ai ripetuti avvertimenti e continuano ad avere un database praticamente aperto a chiunque.

Google, dal canto suo, non ha mai risposto all’indagine. Dopo la prima mail, a cui l’azienda ha risposto in modo automatico, il team di CyberNews ha tentato di contattare Google tramite il loro ufficio stampa. Anche in questo caso il risultato è stato identico: un’email di risposta automatica senza alcuna spiegazione.

Offerta
Xiaomi Mi 10T Lite - Smartphone 6+128GB, 6,67” FHD+...
  • Mi 10T Lite è dotato di una quad camera AI da 64 MP e può scattare foto ultra grandangolari per la modalità...
  • Mi 10T Lite include un processore 5G Qualcomm Snapdragon 750G ad alte prestazioni e una CPU Octa-Core. Mi 10T Lite...
  • Mi 10T Lite è dotato di un display FHD + DotDisplay da 6,67 pollici e di un display AdaptiveSync da 120 Hz per uno...

Source
CyberNews

Sara Grigolin

Amo le serie tv, i libri, la musica e sono malata di tecnologia. Soprattutto se è dotata di led RGB.

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button