LONDON, ENGLAND - AUGUST 09: In this photo illustration, A thumbprint is displayed on a mobile phone while the Google logo is displayed on a computer monitor on August 09, 2017 in London, England. Founded in 1995 by Sergey Brin and Larry Page, Google now makes hundreds of products used by billions of people across the globe, from YouTube and Android to Smartbox and Google Search. (Photo by Leon Neal/Getty Images)

Spyware con false privacy policy si mascheravano da AdBlocker, task killer e app per la privacy su Android, Chrome e iOS

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Non è tutto oro quello che luccica: un ammonimento che dovrebbe venir naturale ricordare a tutti gli internauti ma che, ragionevolmente, non è possibile applicare per ogni applicazione, programma, estensione con le quali si viene a contatto quotidianamente. Ma il caso delle app per la tutela della privacy che si sono rivelate il loro esatto opposto – spywarenon è da sottovalutare, sia per il numero di utenti coinvolto (si parla di 11 milioni di account coinvolti) sia per la strategia adottata dalla software house colpevole del furto e rivendita dei dati personali.

Siete pronti per scoprire come, perché e quali applicazioni si sono rivelati essere dei pericolosi spyware?

BIG STAR LABS

A rivelarlo è stato un articolo di Andrey Meshkov, co-fondatore di AdGuard e attivo nella battaglia online contro spyware, malware e altre forme di minaccia alla sicurezza dei dati personali degli utenti.

La privacy policy della versione per iOS dello spyware

Lo spyware questa volta identificato e segnalato alla comunità degli utenti è stato trovato quasi per caso da Meshkov, il quale sostiene di essersi insospettito sulla possibile natura malevola di alcune delle estensioni Chrome installate sul proprio browser dopo averne analizzato le attività attraverso uno scanner automatico (e liberamente scaricabile da GitHub). Un’attività che compie periodicamente; non sorprenderà dunque che all’attento sviluppatore non sia sfuggito l’indirizzo di un server remoto al quale ben tre delle estensioni installate inviavano l’intera cronologia di navigazione.

Un’attività illegale secondo le linee guida di Google e di Chrome, e che violano apertamente le sue policy. Sfortunatamente, nulla di tutto ciò si qualificherebbe come straordinario nel naturale ordine delle cose per Chrome, i cui controlli sia all’interno che all’esterno del Web Store non sono mai stati né incisivi né efficaci per contrastare il fenomeno delle estensioni maligne.

Ma la sorpresa arriva dopo qualche ricerca: queste tre estensioni-spyware non sono infatti altro che l’avanguardia di una forza molto più compatta ed eterogenea, presente nei principali store di Google (Android e Chrome Web Store, appunto) e persino su iOS, anche se non nell’App Store direttamente.

La lista è la seguente:

  • AdblockPrime (Privacy policy | Un ADBlocker per iOS non presente sull’App Store, dunque impossibile da monitorare in termini di percentuali di installazione ed utilizzo)

Sono tutte riconducibili ad un’unica software house: la Big Star Labs, una casa di sviluppo registrata nel Delaware, USA. Nonostante la relativamente recente formazione della società, la Big Star Labs vanta un portafoglio di applicazioni di tutto rispetto: app per Android, iOS ed estensioni per Chrome per 11 milioni di installazioni complessive, le quali hanno tutte in comune due caratteristiche. Innanzitutto, sono qualificabili come spyware; secondariamente, sono accompagnate da privacy policy che (in maniera molto goffa e superficiale) tentano di giustificare le proprie attività di spionaggio e rivendita dei dati degli utenti.

CHE MALE C’È?

La domanda di carattere retorico che poi Meshkov muove (“Che male c’è se un’azienda dispone dei miei dati?“) non è effettivamente così tanto auto-affermativa: se i dati in possesso in questo caso di Big Star Labs sono completamente ed effettivamente anonimi così come sostengono le privacy policy che accompagnano ciascuno dei prodotti diffusi nei vari store online, che male c’è? Anzi: se queste informazioni permettono nei fatti di realizzare una migliore indicizzazione delle pubblicità online – mantenendo al contempo il prodotto in uso completamente gratuito, quello che all’inizio può sembrare un danno si trasforma in un vantaggio.

La realtà però è ben diversa: come appunto nota Meshkov, è molto probabile che i dati in possesso della casa di sviluppo non siano così anonimi, né così al sicuro. Se infatti tutte le privacy policy dei software sopra citati nei loro paragrafi iniziali promettono di non condividere con alcuno le informazioni acquisite, in quelli immediatamente successivi si contraddicono: adducono così casistiche e situazioni che consentirebbero loro la condivisione o addirittura la vendita dei dati che, essendo tanto generali diventano un modus operandi piuttosto che una particolarità.

Le app-spyware per Android approfittano dei permessi di accessibilità per derubare gli utenti dei propri dati, o peggio

Ma questi trucchi non pagano, perlomeno sul profilo del diritto: queste privacy policy violano palesemente il GDPR non sottoponendo l’utente alla scelta di condividere o meno dati personali (per non parlare delle linee guida del Play Store); sul piano pratico invece sembrano funzionareeccome. Non solo queste app ed estensioni hanno raggiunto 11 milioni di utenti e profili, anche complice la popolarità dei settori operati (task killer, AdBlocker, app per potenziare la privacy sono sempre molto ricercate anche se ben poco utili in alcuni casi); ma riescono ad operare negli store ufficiali dei rispettivi sistemi operativi (tranne che per iOS, dove si è preferita la distribuzione extra-App Store che è da sempre molto poco efficace) grazie all’uso di codici di sviluppo pesantemente pasticciati.

Offuscati nelle righe di programmazione troviamo infatti URL e indirizzi ai quali i dati personali degli utenti vengono inviati: su Android viene in particolare sfruttata la ormai arcinota vulnerabilità delle Accessibility API, che Google tentò di risolvere qualche mese fa ma in maniera tanto goffa e indiscriminata da essere costretta a cedere di fronte alle (legittime) proteste degli sviluppatori. Su iOS addirittura l’app, essendo svincolata dalle regole dell’App Store, si attribuisce addirittura la facoltà di installare ulteriori applicazioni!

Fortunatamente le suddette app non sono più disponibili al download nè su Google Play, nè sul Web Store di Chrome; è sempre bene comunque verificare la validità delle applicazioni che si va ad installare verificandone il numero di permessi richiesti, leggendo la privacy policy allegata e la storia dello sviluppatore, per assicurarsene l’affidabilità.

Buona navigazione!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//