Tra truffe e vulnerabilità, i Bitcoin su Android sono soltanto un pericolo (per ora)

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Parlare di Bitcoin su Android, e più generalmente di criptovalute, non è mai semplice: da una parte per via della difficoltà poste da un argomento non a tutti chiaro e comprensibile, dall’altra a causa delle insidie che il mining di valuta digitale può rappresentare per il proprio smartphone indipendentemente dalla preparazione posseduta in materia.

Tra le serie vulnerabilità delle app per la gestione, realizzazione e compravendita di monete digitali su smartphone alle truffe, siete pronti per scoprire tutto ciò che occorre sapere sui Bitcoin su Android, e non solo?

I Bitcoin su Android sono un pericolo?

Eseguire il mining di criptovalute, ossia utilizzare la potenza della propria RAM/CPU per l’esecuzione di complicati calcoli matematici per l’estrazione di valute virtuali – Bitcoin, ma anche altre monete come LiteCoin, Ethereum e molte altre – può rappresentare un rischio se eseguito con disattenzione, leggerezza o approcciato con sostanziale ignoranza nei confronti della materia.

Ma il problema (anche se sarebbe più corretto l’utilizzo al plurale del termine) con i Bitcoin su Android non riguarda la pratica del mining in sé: piuttosto, a preoccupare gli analisti è la diffusione incontrollata di app-truffa su Google Play, spesso riferite a valute di scarso valore reale, o di applicazioni dotate di un basso, se non inesistente livello di sicurezza e crittografia. Anche se, allo stesso tempo, va aggiunto che il rischio costituito dal mining – in questo particolare momento dello sviluppo delle tecniche di estrazione delle valute – è direttamente inverso: non è il mining praticato dall’utente a causare danneggiamenti allo smartphone, ma piuttosto quello applicato unilateralmente da siti e pagine web sui propri visitatori.


Una cassaforte di pongo

Come ben sappiamo, gli sviluppatori di applicazioni – e specialmente su Android, dove i costi di sviluppo e pubblicazione sono ben inferiori rispetto a quelli riscontrabili su iOS – non perdono tempo per approfittare di una moda dilagante. E, con un valore di 12.000$ a pezzo, i Bitcoin su Android è probabile rimarranno ancora per molto.

Anche se il pericolo-truffa è sempre dietro l’angolo (avremo modo di parlarne, naturalmente) per ora gli analisti preferiscono concentrarsi sulle vulnerabilità delle app di criptovalute legittimamente presenti sul Play Store, ma dotate di apparati di difesa da attacchi o infiltrazioni esterne quasi ridicoli. Si trattano dei risultati della ricerca condotta dal laboratorio di ricerca High-Tech Bridge, il quale ha scansionato le prime 30 app di Bitcoin su Android (ma anche riferite ad altre valute) su tre livelli di popolarità (<100.000, <500.000, >500.000 download) attraverso la propria applicazione Mobile X-Ray, per un totale di 90 app.

Bitcoin su AndroidL’analisi ha portato alla luce non soltanto che la quasi totalità di queste suite per Android, circa il 94%, si è dotata di un sistema di crittografia datato e dunque superato dai moderni standard di sicurezza (oltre a possedere almeno tre vulnerabilità accertate), ma che il 66% non utilizza nemmeno l’HTTPS per la trasmissione delle informazioni con il proprio server (rendendo simili comunicazioni suscettibili ad un attacco Man-In-The-Middle) e che il 42% archivia le password utilizzate all’interno di un file liberamente accessibile dalla memoria del dispositivo, e dunque da qualsiasi app che disponga del permesso necessario per la sua consultazione.

Se questi dati non vi dicono nulla di significativo, vi suggeriamo di rileggerli una seconda volta: l’assenza di una crittografia delle comunicazioni, per esempio, sta a significare che un’enorme freccia luminosa viene visualizzata al di sopra del vostro portafogli virtuale ogni qualvolta vi serviate di una rete non sicura (come un WiFi pubblico). Non solo: l’hackeraggio di un contatore dello scambio di valute da parte di un programmatore esperto equivarrebbe alla manipolazione dell’indice di mercato, fatto che provocherebbe consistenti speculazioni con drammatiche conseguenze sull’economia digitale.

E, considerando l’assoluta assenza di regolamentazione nel mondo digitale, è molto probabile che qualunque furto di criptovalute avrebbe ben poche speranze di vedersi risarcito.


Quando c’erano le pubblicità invasive

Forse in futuro potrà rappresentare un legittimo sistema di remunerazione per siti web (“affittare” la potenza di calcolo del proprio device per navigare su un sito web senza pubblicità, e senza pagamenti), ma nell’immediato l’uso indebito, improprio e non richiesto dell’energia e della potenza degli smartphone Android per il mining di criptovalute sta diventando una vera disgrazia.

Tutti i dettagli del codice delle pagine incriminate da un’immagine di Malwarebytes

A denunciarlo è il ricercatore olandese Willem de Groot, il quale ha condotto un’accurata analisi di 2.496 siti web che ha scoperto integrare un plug-in capace di trasformare il dispositivo in visita – che sia un PC o uno smartphone, poco importa – in un anello della catena per l’estrazione di valuta virtuale. A rendere possibile quest’attività è Coinhive, un sito e un programma di facile impiego indirizzato alla fabbricazione di token per Monero, una moneta digitale multipiattaforma e particolarmente legata alla privacy e sicurezza – caratteristica che ha attirando paradossalmente decine di investitori interessati ad aggirare le regolamentazioni esistenti.

Oltre ai siti web, anche le applicazioni fanno parte di questa matrice illegale di valuta: varie ricerche hanno portato all’identificazione di almeno quattro app su Google Play per un totale di più di 15 milioni di download, finalizzate all’utilizzo indebito o inconsapevole per l’utente (a parte una) della CPU del device, con picchi oltre il 95%. Secondo Malwarebytes, i virus di questo genere sono riusciti ad infettare ben 8 milioni di dispositivi, e il trend non sembrerebbe voler cessare.

È molto interessante scoprire anche la paternità attribuita a questi siti web infetti – all’interno dei quali sembra si nascondano anche virus per il furto delle credenziali di conti bancari -, riconducibili per l’85% dei casi a due singoli account Coinhive; il rimanente 15% si distribuisce su altri profili, ma secondo de Groot l’intero mercato potrebbe tranquillamente essere in mano ad un singolo trafficante, o un’unica organizzazione.


BitConnect è una valuta truffa?

Dopo più di cinquant’anni dalla sua invenzione, lo Schema di Ponzi – già visto qualche anno fa su Telegram in una serie di bot-truffa – torna prepotentemente alla ribalta con la criptovaluta BitConnect, accusata dal fondatore di Ethereum Vitalik Buterin di non essere altro che un gigantesco raggiro.

Anche se i Bitcoin su Android sono meno che diffusi rispetto ad altre piattaforme, BitConnect possiede una propria applicazione ufficiale i cui download si attestano attualmente tra i 50.000 ed i 100.000; oltre alle critiche mosse dal rapporto di cui vi abbiamo parlato qualche paragrafo fa – l’app consente infatti di svolgere operazioni bancarie per il commercio di valuta – va considerato anche il fattore-truffa, da non sottovalutare.

Buterin, fondatore di una delle più apprezzate e diffuse monete digitali, ha infatti pubblicamente denunciato BitConnect di impiegare uno Schema di Ponzi che prometterebbe favolosi guadagni in cambio di un esborso proporzionalmente ridicolo di denaro, tale da non rendere credibile il business agli occhi di qualunque esperto (e non esperto). BitConnect infatti promette un guadagno dell’1% del proprio investimento iniziale, per un totale di 50 milioni di dollari a fronte di un versamento di 1.000 dollari iniziali. Un po’ troppo, non è vero?

Vanno poi considerati molti altri dettagli e retroscena all’esperienza di BitConnect, fino ad ora turbolenta più che mai: non solo la società risulta registrata in Inghilterra sotto tre differenti nomi, ma la stesso British Companies House ha dato a novembre una deadline di due mesi ai vertici della compagnia per provare la liceità delle proprie operazioni, pena la chiusura immediata delle attività.

A questo si aggiungono anche i nomi falsi segnalati da Twitter dietro gli account di iniziali investitori della criptovaluta, mentre si moltiplicano le monete fai-da-te che richiamano a sigle ben più famose ed affidabili, come EthConnect (da Ethereum), NEOConnect (da NEO) e XRPConnect (da Ripple). Quando basta per convincervi a limitare le vostre operazioni sui Bitcoin su Android.

Lo sapevi che Telegram può aiutarti a capire il valore delle criptovalute in tempo reale? Scopri QUI come!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Fonte Ars Technica Motherboard Vice The Next Web
Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//