{"id":4819,"date":"2014-09-18T13:50:19","date_gmt":"2014-09-18T13:50:19","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=4819"},"modified":"2020-02-26T17:26:24","modified_gmt":"2020-02-26T15:26:24","slug":"falle-di-sicurezza-in-app-android-popolari","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/falle-di-sicurezza-in-app-android-popolari\/4819\/","title":{"rendered":"Fuga di dati sensibili su diverse app Android molto popolari"},"content":{"rendered":"<p>Un gruppo di ricercatori appartenenti al <a href=\"http:\/\/www.unhcfreg.com\/\" target=\"_blank\" rel=\"noopener nofollow\">Cyber Forensics Research and Education Group dell\u2019universit\u00e0 del New Haven<\/a> ha scoperto alcune vulnerabilit\u00e0 in diverse app Android molto popolari, tra cui Instagram, Vine, OKCupid e molte altre. I bug potrebbero mettere in pericolo i dati di circa 968 milioni di utenti che hanno installato le applicazioni interessate dal problema sui loro <a href=\"https:\/\/www.kaspersky.it\/blog\/fakeid-scanner\/4565\/\" target=\"_blank\" rel=\"noopener\">dispositivi Android<\/a>.<\/p>\n<p>Il mio collega <a href=\"https:\/\/threatpost.com\/privacy-vulnerabilities-in-popular-android-apps-disclosed\/108163\" target=\"_blank\" rel=\"noopener nofollow\">Chris Brook di Threatpost<\/a> ha riportato che la maggior parte dei bug scoperti dai ricercatori (si veda una serie di video pubblicati su YouTube) proveniva da uno storage dove i <a href=\"https:\/\/www.kaspersky.it\/blog\/chi-usa-la-crittografia-e-chi-no\/2097\/\" target=\"_blank\" rel=\"noopener\">contenuti non venivano criptati<\/a> sui server controllati dalle app vulnerabili.<\/p>\n<div class=\"pullquote\">\u201cSebbene i dati vengano trasmessi in forma sicura da un utente all\u2019altro, abbiamo scoperto che le comunicazioni private possono essere visualizzate da altri poich\u00e9 i dati non sono criptati e l\u2019utente originale non lo sa\u201d, ha dichiarato Baggili.<\/div>\n<p>\u201cChiunque avesse usato o continuasse a usare queste applicazioni \u00e8 a rischio di fuga di informazioni che potrebbe interessare un ampio ventaglio di dati, tra cui le password\u201d, afferma Abe Baggili, assistente presso la facolt\u00e0 di informatica del Tagliatela College of Engineering dell\u2019Universit\u00e0 del New Haven, nonch\u00e9 capo del cFREG.<\/p>\n<p>Per Threatpost, la funzionalit\u00e0 dei Messaggi Diretti di Instangram permetteva di rubare le foto che venivano condivise dagli utenti, cos\u00ec come immagini vecchie immagazzinate in plain text sui server di Instagram. I ricercatori hanno osservato che era possibile rubare anche certe keyword su HTTP, permettendo loro di vedere le informazioni condivise tra gli utenti della popolare app. Un\u2019app di video chatting chiamata ooVoo conteneva essenzialmente la stessa vulnerabilit\u00e0 di Instagram. <a href=\"https:\/\/www.kaspersky.it\/blog\/lapp-mobile-di-instagram-cripta-le-informazioni-in-forma-parziale\/4460\/\" target=\"_blank\" rel=\"noopener\">In passato su questo blog<\/a>\u00a0abbiamo gi\u00e0 parlato del fatto che Instagram non adotta una crittografia completa.<\/p>\n<span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"560\" height=\"315\" src=\"https:\/\/www.youtube.com\/embed\/FXQovCf-PfA?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span>\n<p>Tre delle app gratuite di messaggistica e videochiamata, Tangi, Nimbuzz e Kik contengono dei bug che hanno permesso ai ricercatori di rubare immagini, localizzazioni e video. Su Nimbuzz era anche possibile mettere mano sulle password degli utenti, immagazzinate in plan text.<\/p>\n<span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"560\" height=\"315\" src=\"https:\/\/www.youtube.com\/embed\/-SIuY9W6oBc?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span>\n<p>MeetMe, MessageMe e TextMe inviano tutte informazioni in formato non criptato e in plain text che potrebbe dare all\u2019hacker la possibilit\u00e0 di monitorare le comunicazioni degli utenti che utilizzano quelle applicazioni su rete locale. In queste app, anche l\u2019invio e la ricezione di immagini, nonch\u00e9 la condivisione della posizione geografica possono essere monitorizzate. I ricercatori sono anche riusciti a vedere il file del database TextMe che immagazzina le credenzilai di login dell\u2019utente in plain text.<\/p>\n<span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"560\" height=\"315\" src=\"https:\/\/www.youtube.com\/embed\/-8diGT0Dx-8?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span>\n<p>Grindr, HeyWire, Hike e TextPlus sono stati colpiti dagli stessi bug. Messaggi, foto e localizzazioni possono essere sottratti dai cybercriminali utilizzando strumenti semplici come WireShark. Inoltre, le foto inviate con Grindr, HeyWire e TextPlus rimanevano nei server in plain text e disponibili per settimane via autenticazione.<\/p>\n<p>\u201cGrazie all\u2019utilizzo di HeliumBackup, un backup extractor di Android, siamo riusciti ad accedere al file di backup per i messaggi di testo\u201d, ha dichiarato un ricercatore. \u201cQuando abbiamo aperto il file, abbiamo visto che c\u2019erano screenshot dell\u2019attivit\u00e0 degli utenti che non avevamo scattato noi. Non sappiamo perch\u00e9 quelle screenshot erano l\u00ec n\u00e9 perch\u00e9 erano immagazzinate sul dispositivo\u201d.<\/p>\n<span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"560\" height=\"315\" src=\"https:\/\/www.youtube.com\/embed\/uIqMgqdn31s?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span>\n<p>Nel video finale, i ricercatori hanno visto quail app immagazzinavano dati sensibili. Purtroppo, TextPlus, Nimbuzz e TextMe immagazzinavano credenziali di accesso in plain text. A parte queste tre app, anche MeetMe, SayHi, ooVoo, Kik, Hike, MyChat, WeChat, HeyWire, GroupMe, LINE, Whisper, Vine, Vox and Words With Friends immagazzinavano credenziali di accesso in plain text.<\/p>\n<span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"560\" height=\"315\" src=\"https:\/\/www.youtube.com\/embed\/Lgc9vwgQgBc?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span>\n<p>\u201cSebbene i dati vengano trasmessi in forma sicura da un utente all\u2019altro, abbiamo scoperto che le comunicazioni private possono essere visualizzate da altri poich\u00e9 i dati non sono criptati e l\u2019utente originale non lo sa\u201d, ha dichiarato Baggili.<\/p>\n<p>I ricercatori hanno provato a informare gli sviluppatori delle app in questione, ma si sono imbattuti in formulari di contatto, non c\u2019\u00e8 stata possibilit\u00e0 di parlare direttamente con loro. In un\u2019intervista via e-mail, Abe Biggili non sapeva se i bug individuati da lui e dal suo team fossero\u00a0stati risolti.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Falle nella #privacy sono state provocate da problemi nella #crittografia in molte app #Android popolari<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fw8Xv&amp;text=Falle+nella+%23privacy+sono+state+provocate+da+problemi+nella+%23crittografia+in+molte+app+%23Android+popolari\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Abbiamo contattato Instagram per avere spiegazioni, ma l\u2019azienda per il momento non ci ha ancora risposto.<\/p>\n<p>Non \u00e8 chiaro se gli sviluppatori di queste applicazioni abbiano intenzione di risolvere le vulnerabilit\u00e0 che abbiamo descritto.<\/p>\n<p><a href=\"http:\/\/www.cnet.com\/news\/researchers-find-data-leaks-in-instagram-grindr-oovoo-and-more\/\" target=\"_blank\" rel=\"noopener nofollow\">CNET<\/a> ha contattato Instagram, Kik e Grindr. Instagram ha dichiarato di stare passando alla crittografia completa per la sua app Android, e questa cambiamento risolverebbe molti problemi. Kik ha dichiarato di stare lavorando nella crittografia dei disegni condivisi dagli utenti, ma non delle chat in quanto sono isolate e non accessibili da altre app del telefono. Hanno dichiarato, inoltre,\u00a0che questo modo di immagazzinare i dati sia abbastanza comune nel settore. Grindr sta revisionando il report di sicurezza e che apporter\u00e0 le modifiche opportune.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un gruppo di ricercatori appartenenti al Cyber Forensics Research and Education Group dell&#8217;universit\u00e0 del New Haven ha scoperto alcune vulnerabilit\u00e0 in diverse app Android molto popolari, tra cui Instagram, Vine, OKCupid e molte altre. <\/p>\n","protected":false},"author":42,"featured_media":4822,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[12],"tags":[70,548,111,45,213],"class_list":{"0":"post-4819","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-android","9":"tag-crittografia","10":"tag-privacy","11":"tag-sicurezza","12":"tag-sicurezza-mobile"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/falle-di-sicurezza-in-app-android-popolari\/4819\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/android\/","name":"Android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/4819","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=4819"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/4819\/revisions"}],"predecessor-version":[{"id":20543,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/4819\/revisions\/20543"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/4822"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=4819"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=4819"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=4819"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}