▾ G11 Media Network: | ChannelCity | ImpresaCity | SecurityOpenLab | GreenCity | Italian Channel Awards | Italian Project Awards | ...
Newsletter Cerca
Homepage > Notizia

Check Point: alcuni sviluppatori di app hanno messo in pericolo i dati di 100 milioni di utenti

Aviran Hazum, Manager of Mobile Research di Check Point: "Le vittime diventano vulnerabili a molti vettori di attacco diversi, come le impersonificazioni, il furto di identità, il phishing e i service-swipe".

Autore: Redazione BitCity

Pubblicato il: 24/05/2021

Digital Life
Dopo aver analizzato 23 app Android su Google Play, Check Point Research ha scoperto che gli sviluppatori di app mobile hanno esposto i dati personali di oltre 100 milioni di utenti.
Attraverso una serie di configurazioni errate di servizi cloud di terze parti - come real-time database, gestori di notifiche e cloud storage - hanno messo in pericolo dati sensibili come e-mail, messaggi di chat, posizione, password e foto. Lasciando agli hacker la possibilità di commettere frodi e furti d'identità.

 Misconfigurazioni del database in tempo reale
Un real-time database lavora su dati in tempo reale e in continuo cambiamento, piuttosto che su dati persistenti che vengono memorizzati su un disco. Gli sviluppatori di app dipendono da questi database per memorizzare i dati sul cloud. CPR ha avuto successo nell'accedere ai dati sensibili dai real-time database di 13 applicazioni Android, che vanno da 10 mila a 10 milioni di download. Se un hacker ottenesse l'accesso a questi dati sensibili, potrebbe potenzialmente commettere frodi, furti d'identità e service-swipe. 

Notifiche push incorporate nelle app
Gli sviluppatori hanno bisogno di inviare notifiche push per coinvolgere gli utenti. La maggior parte dei servizi di notifiche push richiedono una chiave per riconoscere l'identità di chi invia la richiesta. CPR ha trovato queste chiavi all’interno di un certo numero di applicazioni. Mentre i dati del servizio di notifica push non sono sempre sensibili, la capacità di inviare notifiche per conto dello sviluppatore è più che sufficiente per attirare attori malintenzionati. 

Cloud storage key integrate nelle app
Il cloud storage sulle applicazioni mobile è una soluzione elegante per accedere ai file condivisi dallo sviluppatore o dall'app installata. CPR ha trovato applicazioni su Google Play con chiavi del cloud storage esposte. Molti sviluppatori di app sanno che memorizzare le chiavi dei servizi cloud nella loro app è tutto tranne che una best practice. Dopo aver analizzato decine di casi, CPR ha trovato alcuni esempi di sviluppatori che hanno cercato di “coprire” il problema con una soluzione, che non ha risolto nulla.  CPR ha contattato Google e ciascuno degli sviluppatori di queste app. In seguito, una delle app ha cambiato la sua configurazione.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di BitCity.it iscriviti alla nostra Newsletter gratuita.

Tag:

Notizie che potrebbero interessarti:

Digital Life
BlazeMedia, boom di acquisti high-tech nel...
Digital Life
Intel costruisce il più grande sistema...
Digital Life
Arriva l’app di Zia Sofia: la prima chef creata...
Digital Life
Ecommerce in Italia a +27% secondo il nuovo...
Digital Life
iliad: prima offerta fibra in Italia con router...
Digital Life
Dipartimento della P.S. e Amazon uniti nella...

Seguici su:

BitCity e' una testata giornalistica registrata presso il tribunale di Como , n. 21/2007 del 11/10/2007
Iscrizione ROC n. 15698

G11 MEDIA S.R.L. - Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.