Close

18 Apr 2018

Milioni di dati a rischio per l’utilizzo degli SDK

La ricerca della società di sicurezza Kaspersky Lab ha svelato che i dati di milioni di utenti sono a rischio. L’annuncio dopo aver analizzato l’attività di app popolari che trasmettevano dati utenti non crittografati tramite HTTP a server di terzi parti. Il comportamento è apparso anomalo perché le stesse, invece, utilizzavano HTTPS per comunicare con i loro server.
Secondo i ricercatori il problema è legato all’utilizzo degli SDK (Software Development Kit), strumenti di sviluppo che consentono agli sviluppatori di includere immediatamente alcune funzionalità nelle loro app con un notevole risparmio di tempo, sottovalutando però i problemi di sicurezza connessi al loro utilizzo.
Alcuni SDK pubblicitari, per esempio, sono stati concepiti per raccogliere dati degli utenti quali informazioni personali, informazioni di rete, informazioni sul dispositivo e localizzazione del dispositivo, in modo da distribuire annunci adatti per l’utente.
L’analisi dimostra che tali informazioni sugli utenti vengano inviate ai server di terze parti con il protocollo HTTP senza nessuna protezione crittografica. Come conseguenza chiunque può intercettarli e addirittura modificarli e utilizzarli per attacchi.
Nel corso della ricerca gli analisti hanno trovato molte app che trasmettevano dettagli di autenticazione non crittografati tramite HTTP, alcune di queste app risultano avere milioni di download.
Kaspersky Lab consiglia agli sviluppatori di non utilizzare HTTP e di attivare il Redirect 301 su HTTPS per il front end. Consiglia, inoltre, di crittografare i dati, utilizzare sempre la versione più recente di un SDK e verificare le comunicazioni di rete dell’app prima della pubblicazione.
Lato utente si raccomanda di verificare le autorizzazioni richieste dall’ applicazione e concedere solo le autorizzazioni necessarie per la funzionalità dell’app ed, inoltre, di utilizzare una VPN per crittografare il traffico verso server esterni.

 

 

Maggiori dettagli su https://securelist.com/leaking-ads/85239/

 

 

Milioni di dati a rischio per l’utilizzo degli SDK ultima modifica: 2018-04-18T16:51:36+00:00 da Alessandra Rose

18 Apr 2018