▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...
Homepage > Notizia

Check Point: alcuni sviluppatori di app hanno messo in pericolo i dati di 100 milioni di utenti

Aviran Hazum, Manager of Mobile Research di Check Point: "Le vittime diventano vulnerabili a molti vettori di attacco diversi, come le impersonificazioni, il furto di identità, il phishing e i service-swipe".

Autore: Redazione BitCity

Pubblicato il: 24/05/2021

Dopo aver analizzato 23 app Android su Google Play, Check Point Research ha scoperto che gli sviluppatori di app mobile hanno esposto i dati personali di oltre 100 milioni di utenti.
Attraverso una serie di configurazioni errate di servizi cloud di terze parti - come real-time database, gestori di notifiche e cloud storage - hanno messo in pericolo dati sensibili come e-mail, messaggi di chat, posizione, password e foto. Lasciando agli hacker la possibilità di commettere frodi e furti d'identità.

 Misconfigurazioni del database in tempo reale
Un real-time database lavora su dati in tempo reale e in continuo cambiamento, piuttosto che su dati persistenti che vengono memorizzati su un disco. Gli sviluppatori di app dipendono da questi database per memorizzare i dati sul cloud. CPR ha avuto successo nell'accedere ai dati sensibili dai real-time database di 13 applicazioni Android, che vanno da 10 mila a 10 milioni di download. Se un hacker ottenesse l'accesso a questi dati sensibili, potrebbe potenzialmente commettere frodi, furti d'identità e service-swipe. 

Notifiche push incorporate nelle app
Gli sviluppatori hanno bisogno di inviare notifiche push per coinvolgere gli utenti. La maggior parte dei servizi di notifiche push richiedono una chiave per riconoscere l'identità di chi invia la richiesta. CPR ha trovato queste chiavi all’interno di un certo numero di applicazioni. Mentre i dati del servizio di notifica push non sono sempre sensibili, la capacità di inviare notifiche per conto dello sviluppatore è più che sufficiente per attirare attori malintenzionati. 

Cloud storage key integrate nelle app
Il cloud storage sulle applicazioni mobile è una soluzione elegante per accedere ai file condivisi dallo sviluppatore o dall'app installata. CPR ha trovato applicazioni su Google Play con chiavi del cloud storage esposte. Molti sviluppatori di app sanno che memorizzare le chiavi dei servizi cloud nella loro app è tutto tranne che una best practice. Dopo aver analizzato decine di casi, CPR ha trovato alcuni esempi di sviluppatori che hanno cercato di “coprire” il problema con una soluzione, che non ha risolto nulla.  CPR ha contattato Google e ciascuno degli sviluppatori di queste app. In seguito, una delle app ha cambiato la sua configurazione.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di BitCity.it iscriviti alla nostra Newsletter gratuita.

Tag:

Notizie che potrebbero interessarti: