Libero
SICUREZZA INFORMATICA

C'è una falla in Android e iOS: un miliardo di smartphone a rischio

Un software inserito in migliaia di app mette a rischio un miliardo di smartphone, sia Android che iOS

Hacker con smartphone tra le mani Fonte foto: Shutterstock

Sono oltre un miliardo gli smartphone Android e iOS sui quali è possibile eseguire da remoto codice arbitrario pericoloso, secondo la società di cybersicurezza Snyk che ha scoperto uan backdoor all’interno di un SDK di advertising. Cioè uno di quei pacchetti standard di codice inseriti nelle app per mostrare all’utente i banner pubblicitari.

L’SDK in questione è stato sviluppato dalla cinese Mintegral ed era finito nell’occhio del ciclone già a fine estate, quando Snyk scoprì che poteva essere usato per spiare gli utenti iOS. Adesso, però, la stessa società di cybersicurezza ha scoperto che l’SDK pubblicitario di Mintegral può essere usato anche per fare ben di più e ben peggio. Snyk ha anche dimostrato di essere in grado di sfruttare l’SDK per eseguire codice pericoloso sugli iPhone e afferma che lo stesso si può fare anche su Android. Il numero di smartphone sui quali è stata installata una app contenente l’SDK di Mintegral, e che quindi è a rischio, supera il miliardo.

Cosa sta facendo Mintegral

Secondo Snyk dopo che ad agosto è trapelata la notizia dell’SDK pericoloso Mintegral ha rimosso la parte di codice tramite cui è possibile spiare gli utenti. Nel frattempo sia Google che Apple hanno avvertito tutti gli sviluppatori di app che avevano integrato quell’SDK, affinché lo rimuovessero.

Snyk, però, adesso afferma che Mintegral ha reinserito del codice molto simile al precedente e, quindi, siamo punto e a capo. Con l’aggravante che adesso Snyk ha scoperto le altre potenzialità dell’SDK, cosa che aggrava di parecchio il rischio per gli utenti.

Cosa stanno facendo Google e Apple

Secondo la politica di Apple gli sviluppatori sono i responsabili del codice inserito nelle loro app e di tutto ciò che tale codice fa, nel bene o nel male. Se un’app integra quindi un SDK che poi viene usato da terzi per spiare lo smartphone o eseguire codice pericoloso (ad esempio per scaricare un malware sull’iPhone), la colpa è quindi di chi ha sviluppato l’app.

Google non ha neanche risposto a Snyk in merito alla questione Mintegral, ma la sua politica sulla responsabilità degli sviluppatori è sostanzialmente la stessa di Apple.

Cosa rischiano gli utenti

Un po’ meglio si stanno comportanto di network pubblicitari, cioè le aziende che raccolgono gli investimenti in pubblicità che poi vengono trasformati in banner da mostrare agli utenti. Molti di loro hanno infatti rimosso Mintegral dall’elenco dei partner tecnici con i quali collaborano.

Ciò non vuol dire, però, che gli utenti non rischiano più: l’SDK è ancora presente in migliaia di app, anche se non mostra più le pubblicità dei network che hanno smesso di usarlo.