app skygo Fonte foto: MichaelJayBerlin / Shutterstock.com
SICUREZZA INFORMATICA

SkyGo ha una falla, a rischio i dati degli utenti

Un ricercatore informatico ha scoperto delle vulnerabilità nell'app Windows di SkyGo che metterebbero in pericolo le credenziali degli utenti

23 Gennaio 2019 - La versione per Windows dell’app SkyGo ha un problema di sicurezza. Lo ha scoperto l’esperto di sicurezza Sean Wright analizzando due versioni della app (la 1.0.23-1 e la 1.0.19-1), ma non è escluso che anche altre versioni possano essere interessate da questa vulnerabilità.

Secondo quanto spiega Wright, l’app esegue diverse richieste e trasmissioni di dati utilizzando il protocollo HTTP senza nessun tipo crittografia. Ciò vuol dire che è vulnerabile e un hacker può utilizzare la tecnica Man in the Middle” (MiTM) per entrare in possesso di dati riservati dell’utente. Potrebbe cioè “mettersi nel mezzo” della comunicazione tra la app e i server che trasmettono i contenuti, riuscendo a leggere senza problemi le informazioni dell’utente comunicate dalla app al server. Lo username, ad esempio, sarebbe facilmente leggibile dall’hacker.

La vulnerabilità di SkyGo

Questo bug della app di SkyGo è stato scoperto dal ricercatore il 22 maggio 2018 e reso pubblico il 19 gennaio. In tutto questo tempo, secondo il ricercatore, non risulta che sia stata rilasciata una versione più sicura della app. L’8 giugno 2018 Sky ha comunicato a Wright che stava lavorando per fixare la app, ma poi a settembre ha dichiarato che la patch verrà rilasciata solo in una nuova versione dell’applicazione che verrà resa disponibile in futuro e non in una versione speciale, realizzata appositamente per risolvere questo problema.

Data la necessità per le aziende di passare a HTTPS, questo problema evidenzia ancora una volta che anche le società più grandi sono in ritardo, oltre a restare indietro quando si tratta di risolvere questi problemi – ha detto Wright a ZDNet – Spero che evidenziando pubblicamente alcuni di questi problemi, si possa ottenere visibilità su di essi e convincere le aziende a iniziare finalmente a prestarvi la necessaria attenzione”.

Che cosa è il protocollo HTTPS

Il protocollo HTTPS citato da Wright non è altro che la versione crittografata del vecchio HTTP, grazie alla quale è possibile instaurare comunicazioni più sicure tra computer e dispositivi di vario genere su Internet. Se SkyGo usasse l’HTTPS per le sue comunicazioni, un attacco Man in the Middle sarebbe molto più complesso perché l’hacker dovrebbe riuscire a decifrare i dati prima di poterli leggere. La stessa Google ha più volte invitato i titolari dei siti web a passare a questo protocollo e il browser Chrome segnala chiaramente i siti che utilizzano ancora il vecchio protocollo HTTP con la scritta “Non sicuro” a sinistra della URL.

© Italiaonline S.p.A. 2019Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963