SkyGo ha una falla, a rischio i dati degli utenti
Un ricercatore informatico ha scoperto delle vulnerabilità nell'app Windows di SkyGo che metterebbero in pericolo le credenziali degli utenti
La versione per Windows dell’app SkyGo ha un problema di sicurezza. Lo ha scoperto l’esperto di sicurezza Sean Wright analizzando due versioni della app (la 1.0.23-1 e la 1.0.19-1), ma non è escluso che anche altre versioni possano essere interessate da questa vulnerabilità.
Secondo quanto spiega Wright, l’app esegue diverse richieste e trasmissioni di dati utilizzando il protocollo HTTP senza nessun tipo crittografia. Ciò vuol dire che è vulnerabile e un hacker può utilizzare la tecnica “Man in the Middle” (MiTM) per entrare in possesso di dati riservati dell’utente. Potrebbe cioè “mettersi nel mezzo” della comunicazione tra la app e i server che trasmettono i contenuti, riuscendo a leggere senza problemi le informazioni dell’utente comunicate dalla app al server. Lo username, ad esempio, sarebbe facilmente leggibile dall’hacker.
La vulnerabilità di SkyGo
Questo bug della app di SkyGo è stato scoperto dal ricercatore il 22 maggio 2018 e reso pubblico il 19 gennaio. In tutto questo tempo, secondo il ricercatore, non risulta che sia stata rilasciata una versione più sicura della app. L’8 giugno 2018 Sky ha comunicato a Wright che stava lavorando per fixare la app, ma poi a settembre ha dichiarato che la patch verrà rilasciata solo in una nuova versione dell’applicazione che verrà resa disponibile in futuro e non in una versione speciale, realizzata appositamente per risolvere questo problema.
“Data la necessità per le aziende di passare a HTTPS, questo problema evidenzia ancora una volta che anche le società più grandi sono in ritardo, oltre a restare indietro quando si tratta di risolvere questi problemi – ha detto Wright a ZDNet – Spero che evidenziando pubblicamente alcuni di questi problemi, si possa ottenere visibilità su di essi e convincere le aziende a iniziare finalmente a prestarvi la necessaria attenzione”.
Che cosa è il protocollo HTTPS
Il protocollo HTTPS citato da Wright non è altro che la versione crittografata del vecchio HTTP, grazie alla quale è possibile instaurare comunicazioni più sicure tra computer e dispositivi di vario genere su Internet. Se SkyGo usasse l’HTTPS per le sue comunicazioni, un attacco Man in the Middle sarebbe molto più complesso perché l’hacker dovrebbe riuscire a decifrare i dati prima di poterli leggere. La stessa Google ha più volte invitato i titolari dei siti web a passare a questo protocollo e il browser Chrome segnala chiaramente i siti che utilizzano ancora il vecchio protocollo HTTP con la scritta “Non sicuro” a sinistra della URL.
