Queste 11 app contengono un codice spia

Di app infette sono pieni gli store, ma non tutte le infezioni sono uguali e pericolose allo stesso modo. Dagli Stati Uniti, per la precisione dal Wall Street Journal, arriva una notizia abbastanza inquietante: diverse app Android presenti sul Play Store di Google contengono un codice in grado di spiare gli utenti.

Il codice è un SDK, cioè un “Software Development Kit“. Si tratta di pacchetti di codice precompilato che si possono inserire nelle app già sviluppate, per fornire funzioni aggiuntive o, come in questo caso, per raccogliere informazioni. Gli SDK sono diffusissimi a scopi pubblicitari, su migliaia e migliaia di app in tutto il mondo. Serge Egelman, ricercatore dell’International Computer Science Institute e della University of California di Berkeley, e Joel Reardon della University of Calgary, in Canada, hanno scoperto un SDK molto particolare, sviluppato da Measurement Systems S. de R.L., che ha fatto drizzar loro le antenne.

Chi è Measurement Systems

Il principale problema di questo codice è che è ufficialmente un tracker pubblicitario, ma è stato sviluppato da Measurement Systems S. de R.L., una società a responsabilità limitata con sede legale a Panama che si occupa principalmente di cyber intelligence e, tra i suoi clienti, ha anche il Dipartimento della Difesa americano.

In buona sostanza Measurement Systems è una società “contractor” che fa spionaggio per il Pentagono. Questa società ha pagato decine di sviluppatori per inserire il suo SDK nelle loro app. Ufficialmente al fine di raccogliere dati ai classici fini pubblicitari.

Quali app contenevano il codice

Tra le app con l’SDK di Measurement Systems c’era un po’ di tutto: dalle app di meteo a quelle anti autovelox, passando per quelle di preghiera (molto usate dagli utenti musulmani), i kit di utility, i traduttori automatici, gli orologi digitali. Molte di queste app sono disponibili anche in Italia, con traduzione automatica in italiano, e sono perfettamente utilizzabili nel nostro Paese senza alcun problema.

I ricercatori hanno comunicato a Google ciò che hanno scoperto e la società di Mountain View ha sospeso temporaneamente le app dal Play Store. Alcuni sviluppatori hanno prontamente rimosso il codice SDK, ottenendo la riammissione dell’app sullo store. Chi non lo ha fatto, invece, si è semplicemente visto estromettere dal Play Store.

I ricercatori hanno scovato personalmente 11 app contenenti il codice SDK pericoloso, ma si suppone che in circolazione ce ne siano decine:

• Speed Camera Radar
• Al-Moazin Lite (Prayer Times)
• Wi-Fi Mouse (remote control PC)
• QR & Barcode Scanner (developed by AppSource Hub)
• Qibla Compass – Ramadan 2022
• Simple weather & clock widget (developed by Difer)
• Handcent Next SMS-Text with MMS
• Smart Kit 360
• Al Quran MP3 – 50 Reciters & Translation Audio
• Full Quran MP3 – 50+ Languages & Translation Audio
• Audiosdroid Audio Studio DAW

Chiunque abbia scaricato, anche in passato, una di queste app farebbe bene a cancellarla immediatamente e ad eseguire una scansione antivirus con una buona suite di sicurezza. Nelle prossime settimane salteranno certamente fuori altre app che integrano questo SDK: ne siamo certi perché è già successo in passato, e più volte, qualcosa del genere.

Perché il codice era pericoloso

Ciò che ha allarmato i ricercatori, portandoli a segnalare a Google le app che contengono l’SDK pericoloso, è stata l’enorme quantità di dati sensibili raccolti dal codice. Si va ben oltre i classici dati raccolti per fornirci le pubblicità personalizzate, tra i dati letti dal codice e comunicati a Measurement Systems ci sono:

• Posizione GPS precisa
• Indirizzo email
• Numero di telefono
• Contenuto degli appunti

Con la posizione è possibile sapere dove si trova l’utente, con indirizzo email e numero di telefono è possibile identificarlo personalmente, con gli appunti è possibile conoscere quasi tutto di lui, comprese le password che usa. Chiaro, quindi, che il codice di Measurement Systems non era stato scritto per mandare pubblicità personalizzate: si trattava di un vero e proprio spyware a tutti gli effetti.