Scoperte 306 app Android pericolose da rimuovere subito
Moltissime app presenti sul Play Store usano un sistema di crittografia per proteggere i dati, ma lo fanno commettendo banali errori
Moltissime app Android presenti sul Play Store di Google non sono sicure, anche se adottano un sistema di crittografia dei dati. Lo hanno scoperto alcuni ricercatori della Columbia University, che hanno messo a punto un tool per analizzare il codice delle app in cerca di errori e bug nell’implementazione di 26 regole base di crittografia.
Il tool, che è stato chiamato “Crylogger“, è stato usato per analizzare un totale di 1.780 app Android, pubblicate in 33 differenti categorie del Play Store. I risultati non sono stati affatto buoni: quasi tutte le app analizzate hanno almeno un difetto di crittografia, ben 1.1775. Di queste, 306 sono state giudicate non sicure dal team di ricerca per i troppi errori di implementazione dei protocolli di crittografia. La cosa più preoccupante, però, è che i ricercatori hanno contattato tutti gli sviluppatori delle app non sicure e solo raramente hanno avuto risposte concrete: appena 18 sviluppatori hanno risposot alla prima email di contatto.
App pericolose: quali sono
I ricercatori hanno preferito non rendere noti i nomi delle app pericolose, per non dire agli hacker quali sono le app che possono sfruttare più facilmente per rubare i dati agli utenti. Una decisione saggia e ragionevole, anche in attesa che gli sviluppatori si diano una mossa e correggano i bug.
I risultati dell’approfondita analisi effettuata sulle app tramite Crylogger, però, verranno resi noti a maggio 2021, in occasione dell’annuale IEEE Symposium on Security and Privacy, una conferenza sulla sicurezza e la privacy che si svolge dal 1980 e che l’anno prossimo sarà arrivata alla sua quarantunesima edizione.
App pericolose: un problema di cultura
I bug riscontrati da Crylogger riguardano spesso le regole di base che qualsiasi specialista di crittografia conosce molto bene, ma di cui molti sviluppatori di app evidentemente non sono a conoscenza.
Si tratterebbe, cioè, di un vero e proprio problema diffuso di cultura della sicurezza: gli sviluppatori, infatti, dovrebbero acquisire maggiori nozioni di crittografia avanzata prima di mettersi al lavoro per programmare le loro app.
Anche per questo i ricercatori della Columbia University sperano che almeno qualcuno degli sviluppatori contattati voglia partecipare all’IEEE Symposium on Security and Privacy che si terrà dal 18 al 20 maggio 2021.
