Come vengono gestite le nostre informazioni personali? Migliaia di applicazioni per Android e iOS usano database in cloud per memorizzare, in chiaro, password, user ID, posizione e, in alcuni casi, anche le transazioni finanziarie. Ma una volta che le informazioni sono state raccolte, che livello di protezione abbiamo? La risposta a questa domanda è contenuta in una ricerca realizzata da Appthority, un’azienda di sicurezza mobile. hanno scannerizzato sia le app per dispositivi mobili Android che iOS che hanno utilizzato i database di Firebase per archiviare i dati dei propri utenti.
Per chi non lo sapesse, Firebase è una popolare piattaforma di back-end basata su cloud per applicazioni mobili e web. La società è stata acquista da Google nel 2014, quindi ha trovato una vera base di utenti tra i migliori sviluppatori Android. I ricercatori di sicurezza hanno quindi scoperto che molti sviluppatori di applicazioni non provvedono a proteggere adeguatamente gli accessi ai database mediante firewall o procedure di autenticazione, lasciando centinaia di gigabyte di dati sensibili degli utenti accessibili a chiunque in maniera assolutamente banale: un eventuale malintenzionato, infatti, riesce ad accedere semplicemente aggiungendo il suffisso /.json con un nome di database vuoto alla fine del nome host di accesso. E purtroppo, quello che hanno trovato, non sono buone notizie.
Il report di Appthority
Il report mette in luce una situazione terrificante. Per valutare la portata del pericolo di una simile vulnerabilità le analisi dei ricercatori di Appthority, che hanno utilizzato un sistema automatizzato in grado di individuare i server di backend utilizzati dalle app, hanno esaminato oltre 2,7 milioni di app mobili sia su iOS che su Android. I ricercatori hanno scoperto che tra le 27.227 app Android e le 1.275 app iOS che memorizzavano i dati della loro app nei sistemi di database back-end di Firebase, 3.046 di queste app hanno salvato dati all’interno di 2.271 database non protetti a cui chiunque poteva accedere. Da quelle app che memorizzano questi dati apertamente per chiunque, 2446 sono su Android e le restanti 600 sono applicazioni iOS. I dati cioè possono essere consultati senza dover superare strumenti di sicurezza dedicati e nemmeno un sistema di autenticazione.
Insomma: dati accessibili a chiunque. Tra questi i nomi degli utenti, le email, numerose informazioni personali e anche dati di carattere medico-sanitario. Un vero incubo per la privacy. Tra tutte queste applicazioni vulnerabili, i dati trapelati includono: 2,6 milioni di ID utente e password in formato testo, 25 milioni di record di posizione GPS archiviati, 50.000 record di transazioni finanziarie in-app e oltre 4,5 milioni di token utente di piattaforme di social media. Altri dati trapelati comprendono oltre 4 milioni di record PHI (Protect Health Information) che contengono chat private e record di prescrizione. In totale, oltre 100 milioni di record individuali che coprono un totale di oltre 113 gigabyte di dati costituiscono le informazioni accessibili coinvolte nella violazione. Le app Android interessate sono state scaricate più di 620 milioni di volte dal Google Play Store.
Leggi anche: Privacy: la sicurezza rischia quando si accede con facebook
Prestare molta attenzione
Sappiamo bene che sugli store on-line è facile imbattersi in migliaia di app malevoli che promettono funzioni incredibili per il nostro dispositivo mobile, salvo poi dimostrarsi più attente a rubare dati personali e informazioni riservate. Ma a quanto pare adesso dobbiamo prestare attenzione anche a quelle app assolutamente legittime ma pubblicate da sviluppatori per così dire distratti, che si “dimenticano” di utilizzare le necessarie misure di sicurezza per prevenire ogni possibile attacco o intrusione. I ricercatori sottolineano che hanno contattato Google prima di rilasciare questo rapporto. Dicono che hanno anche fornito a Google un elenco completo delle app non protette, oltre a contattare gli stessi sviluppatori di app. Sebbene l’elenco delle app vulnerabili non sia stato reso pubblico, include app in categorie che vanno dalla messaggistica alla finanza, dalla sanità alla mobilità. Le aziende o i creatori di queste app interessate si trovano in tutto il mondo.
Leggi anche: GDPR: cambiano le norme sulla privacy
Ma com’è possibile che una semplice distrazione o comunque un banale errore di programmazione possa mettere a rischio in questo modo i nostri preziosi dati personali?
Claudio Telmon, di P4i e IT Risk and security advisor, membro del Comitato Direttivo e del CTS di CLusit spiega: “Uno dei pregi dell’ecosistema delle app è che chiunque abbia un’idea valida può, con uno sforzo limitato, realizzare una app che concretizzi quell’idea in un servizio immediatamente disponibile a milioni di persone. Purtroppo, questa stessa facilità di realizzazione fa sì che non ci siano grandi garanzie sulla qualità e sicurezza delle app che vengono realizzate. L’esposizione di dati all’accesso indiscriminato attraverso Internet è uno dei rischi tipici dei servizi in cloud. Si tratta di un rischio che si può mitigare, fra l’altro, attraverso un’adeguata autenticazione. Nel caso di Google Firebase, l’autenticazione è proprio la parte implementata in modo carente da migliaia di app”.
“Il Working Party 29” – ricorda ancora Telmon, nel proprio “Dichiarazione del WP29 sulla crittografia e il loro impatto sulla protezione delle persone riguardo al trattamento dei propri dati personali nell’UE” dell’aprile scorso ha sottolineato l’importanza della cifratura dei dati personali durante il trasferimento attraverso internet e quando memorizzati su dispositivi mobili quali gli smartphone.
Leggi anche: Tecnologia, smart home ci farà preoccupare maggiormente della privacy