Nella maggior parte dei casi, le app gratuite per Android che noi tutti scarichiamo da Google Play non sono poi cos\u00ec \u201cgratuite\u201d. Gli sviluppatori non disegnano un\u2019 app per pura bont\u00e0. Come la maggior parte dei servizi online che non richiedono il tradizionale pagamento, queste app contano sulla pubblicit\u00e0 e sugli in-app purchase <\/i>(le vendite di software e pack aggiuntivi per le applicazioni gi\u00e0 presenti nello store).<\/p>\n
Durante il processo di sviluppo, il disegnatore di un\u2019applicazione include spesso una ad library<\/i> (libreria utilizzata per gli annunci pubblicitari per cellulari) di una azienda esterna. Una volta che l\u2019app \u00e8 attiva su Google Play e inizia a essere scaricata dagli utenti Android, queste aziende terze s\u2019incaricano della pubblicit\u00e0, pagando gli sviluppatori per lo spazio concesso.<\/p>\n
Lo sviluppatore e l\u2019utente non hanno controllo sulla ad library<\/i>, n\u00e9 su quello che fa e le informazioni che raccoglie, sulla pubblicit\u00e0 che distrubuisce o come interagisce con i dispositivi dell\u2019utente. Alcune ad library<\/i> sono trasparenti e affidabili, altre possono essere ingannevoli e pericolose.<\/p>\n Queste ad library<\/i> sono molto comuni sul sistema operativo Android e includono spesso funzionalit\u00e0 invadenti e fastidiose<\/a> che portano con s\u00e9 tutta una serie di vulnerabilit\u00e0 potenzialmente sfruttabili, e sono state scaricate pi\u00f9 di 200 milioni di volte. \u201cSpericolato\u201d forse \u00e8 l\u2019aggettivo adatto con cui si pu\u00f2 descrivere il comportamento di questa particolare libreria, analizzata e battezzata dai ricercatori di FireEye<\/a> \u201cVulna\u201d, un mix tra le parole \u201cvulnerabile\u201d e \u201caggressiva\u201d.<\/p>\n Come molte ad library<\/i>, Vulna ha la capacit\u00e0 di raccogliere informazioni sensibili come contenuti di sms, registro chiamate e rubrica. Inoltre, cosa ancora pi\u00f9 preoccupante, gli ad<\/i> di Vulna possono anche eseguire codici scaricati sui dispositivi Android, come file eseguibili, in cui sono presenti le app con la libreria in questione.<\/p>\n Quel che \u00e8 peggio \u00e8 che la lista delle vulnerabilit\u00e0 che riguardano i servizi di advertising <\/i>\u00a0offerti da Vulna consentirebbe agli hacker di sfruttare in remoto i bug<\/a>, prendere il controllo di tutte le funzionalit\u00e0 della ad network<\/i>, usandole a scopi dannosi contro l\u2019utente che possiede il dispositivo con Vulna. In altre parole, questa libreria potrebbe essere utilizzata per mettere a punto attacchi su ampia scala dato che (e questo \u00e8 il motivo per cui FireEye non ha rivelado il vero nome della libreria) sono milioni i dispositivi a cui Vulna fornisce i servizi pubblicitari<\/p>\n Da considerare insieme alle vulnerabilit\u00e0 (dovute principalmente alla mancanza di un sistema di crittografia<\/a> dei dati, in entrame le direzioni, tra i server di Vulna e i dispositivi degli utenti), un hacker con un po\u2019 di esperienza potrebbe in teoria portare a termine una qualsiasi di queste azioni: rubare codici<\/a> inviati via SMS previsti dai sistemi di autenticazione a doppio fattore; visualizzare foto<\/a> e file immagazzinati; installare app dannose e icone sulla schermata principale del dispositivo; cancellare file e dati; spacciarsi per il vero proprietario del telefono per portare a termine attacchi di phishing o di altro tipo; cancellare messaggi di testo, realizzare chiamate e usare di nascosto la fotocamera; cambiare i preferiti nella barra del browser sostituiendoli con siti malware. Altre azioni pericolose includono: spionaggio mentre i dispositivi in questione si connettono ad una Wi-Fi pubblica; installazione di una botnet malware; manomissione dei server DNS (domain name system<\/i>) di Vulna, consentendo all\u2019hacker di ridirezionare il traffico pubblicitario verso un sito controllato dal criminale. Questo \u00e8 esattamente quello che \u00e8 successo a Twitter e al New York Times in un attacco recente<\/a> che ha fatto parlare molto di s\u00e9.<\/p>\n \u00c8 difficile per un utente sapere se ha scaricato sul suo telefono una app affiliata a Vulna. Ci\u00f2 \u00e8 dovuto principalmente al modo con cui Vulna riceve i comandi HTTP dal controller server<\/i>;\u00a0 il suo codice \u00e8 infatti protetto e oscurato (tutto il contrario di un codice open-source<\/i>), il che significa che solo i suoi creatori hanno il permesso di esaminarlo. In definitiva, \u00e8 difficile sapere cosa stia facendo la ad network<\/i> in determinati momenti.<\/p>\n Fortunatamente, dopo aver contattato Google e l\u2019azienda responabile delle ad library <\/i>Vulna, i ricercatori di FireEye sono riusciti a essere pi\u00f9 specifici sull\u2019identit\u00e0 attuale di Vulna. Durante questa settimana<\/a>, FireEye ha annunciato che sia Google sia l\u2019azienda responsabile hanno apportato diversi cambiamenti positivi. Google ha rimosso molte delle applicazioni che stavano abusando in maniera evidente della situazione, revocando loro l\u2019account di sviluppatore. Molti sviluppatori hanno aggiornato le loro app installando gli update sulle versioni \u201cinvadenti\u201d di Vulna; mentre altri le hanno rimosse completamente.<\/p>\n Sfortunatamente, molti utenti Android non istallano gli aggiornamenti delle applicazioni, rimanendo cos\u00ec vulnerabili alle minacce. Infatti, FireEye stima che molti dei 166 milioni di download contengono tuttora la cattiva versione di Vulna.<\/p>\n Naturalmente, noi raccomandiamo a tutti di installare gli aggiornamenti: se non vengono installati, non c\u2019\u00e8 molto altro che si possa fare o nessuno che vi possa aiutare. Fate anche attenzione agli adware (advertising-supported software<\/i>). Le versioni a pagamento delle app possono sembrare uno spreco di denaro quando esistono app gratuite, ma la triste verit\u00e0 \u00e8 che c\u2019\u00e8 sempre un \u201cperch\u00e9\u201d se una app \u00e8 a pagamento. Nulla \u00e8 gratis a questo mondo. Come abbiamo sottolineato, molte delle app \u201cgratuite\u201d sono sovvenzionate dalla pubblicit\u00e0 e, come dimostra il caso di Vulna, \u00e8 spesso impossibile sapere cosa stiano facendo le ad library<\/i> e come vengano mantenute.<\/p>\n