Un totale di 23 app per Android, per via di un errore di configurazione in cloud, hanno esposto i dati di oltre 100 milioni di utenti, hanno scoperto i ricercatori di sicurezza di Check Point
I dati personali di oltre 100 milioni di utenti Android sono stati esposti da 23 applicazioni a causa di alcune configurazioni errate dei servizi cloud di terze parti sui quali queste ultime si appoggiano. La scoperta è stata fatta dai ricercatori di sicurezza di Check Point che hanno sottolineato come questi errori di configurazione abbiano anche esposto anche risorse interne degli sviluppatori, come i meccanismi di aggiornamento e l’archiviazione dei dati. “Questa configurazione errata dei database in tempo reale non è nuova, ma con nostra sorpresa, l’ambito del problema è ancora troppo ampio e interessa milioni di utenti”, si legge nella relazione pubblicata da Check Point.
Durante l’indagine sul contenuto dei database disponibili pubblicamente, i ricercatori di sicurezza sono stati in grado di recuperare molte informazioni sensibili appartenenti agli utenti tra cui indirizzi email, password, chat private, posizione del dispositivo e Id utente. “Se un malintenzionato riuscisse a ottenere l’accesso a questi dati, potrebbe potenzialmente utilizzarli per mettere in atto lo scorrimento del servizio (che si verifica quando si tenta di utilizzare la stessa combinazione nome utente-password su altri siti), eseguire delle frodi o dei furti di identità”, spiegano i ricercatori.
Gli esperti di Check Point sono stati in grado di accedere ai database back-end di 13 applicazioni e di consultarne tranquillamente il contenuto appartenente agli utenti. In alcuni casi, le applicazioni analizzate hanno addirittura esposto delle chiavi d’accesso che, se sfruttate, avrebbero potenzialmente permesso agli aggressori di abusare delle notifiche push sui dispositivi degli utenti per mostrare messaggi che avrebbero potuto condurre gli utenti a siti web dannosi preimpostati per rilasciare malware o eseguire azioni di phishing.
Una delle app analizzate dagli esperti, Screen Recorder, su Google Play conta oltre 10 milioni di download, e consente agli utenti di memorizzare le attività a schermo su un servizio cloud. I ricercatori hanno scoperto che era possibile accedere alle chiavi di archiviazione in cloud che consentivano di accedere agli screenshot degli utenti. Una grave carenza di sicurezza per un’app che memorizza dati altamente sensibili e privati.
Sul sito di Check Point i ricercatori hanno stilato una lista delle applicazioni coinvolte per consentire agli utenti di verificare se i loro dati sono stati potenzialmente esposti e di correre ai ripari disinstallando l’app o installando l’aggiornamento con le pathc di sicurezza.
Leggi anche
Potrebbe interessarti anche