Oltre 20.000 applicazioni Android "collaborano" per rubare i dati dell'utente

13 Aprile 2017 246

Una delle principali fonti di guadagno, in quest'epoca fortemente caratterizzata dalla fruizione di contenuti e servizi digitali, è rappresenta dal commercio dei dati degli utenti. Abitudini riguardanti i siti frequentati, dati sulla posizione, app scaricate e molto altro ancora: tutto concorre alla creazione dei cosiddetti Big Data, enormi database particolarmente richiesti dalle grandi compagnie.

Capita così che, pur di ottenere dati da rivendere, alcuni sviluppatori realizzino delle applicazioni civetta, il cui scopo non è tanto quello di svolgere il compito dichiarato nella descrizione, quanto quello di raccogliere informazioni relative all'utente ignaro. Google ha provato ad arginare questo fenomeno su Android, introducendo il nuovo sistema di permessi integrato su Android Marshmallow, il quale impedisce alle app di accedere ad aspetti sensibili dello smartphone senza che l'utente abbia dato esplicito consenso.

Stando a quanto emerso da un report della Virginia Tech, sembra che gli sviluppatori abbiano trovato il modo di aggirare le limitazioni imposte da Google, sfruttando una sorta di collaborazione tra diverse app. Il report, che prende in esame le 100.000 app più scaricate dal Google Play Store, evidenzia come ben 23.500 app siano in grado di comunicare con le altre per riuscire a leggere i dati di posizione dell'utente.

In questo modo, ad esempio, pur non avendo dando alcun consenso all'utilizzo del GPS, un'app dedicata all'utilizzo del flash come torcia, potrebbe ricevere i dati della posizione raccolti da un'altra app a cui è stato dato il consenso di accedere a tale funzionalità, il tutto senza che l'utente sia in grado di accorgersi di ciò. Le applicazioni coinvolte si configurano secondo uno schema che prevede un ruolo di "invio e ricezione". Le app che hanno il compito di inviare (ne sono state identificate 33 estremamente problematiche), raccolgono i dati dell'utente per passarli alle app pensate per ricevere, le quali poi penseranno ad inoltrare i dati ottenuti presso server appartenenti a soggetti terzi.

Il consiglio è sempre quello di evitare di scaricare applicazioni superflue, magari realizzate da sviluppatori completamente sconosciuti, facendo particolare attenzione ai permessi richiesti e ad eventuali attività sospette in background.

Il best seller rinnovato in chiave 2016? Motorola Moto G4, compralo al miglior prezzo da Amazon a 174 euro.

246

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
stiga holmen

Hai presente come fanno a trovare e capire come si propaga un virus? Conta che Google ha migliaia di smartphone connessi per testare le proprie app ed offre un servizio a pagamento agli sviluppatori per far testare su quanti più modelli possibile le loro app....

Se ancora non hai capito che il problema non è solo il deep linking...ciao.
Se ti fa sentire meglio ti confermo che Android ha più problemi di iOS lato sicurezza.

Così va bene ?
Ripeto che però il problema è molto più grave e riguarda lo scambio di info extra app....e lì nessun sistema è al sicuro..

Luca

Si vabbè ciao chiccoooo :D Se devi giustificare il tuo acquisto o ad ogni modo preferisci essere cieco e credere a quello che ti pare senza uno straccio di prova e solo banalissime supposizioni che si reggono sul nulla, allora qui sto solo perdendo tempo. Continua pure a pensare che quella m**** di android sia sicuro e che se c'è il modo di scavalcare il sistema allora non è un buco di android stessi... Tanto il web non è pervaso di dimostrazioni di quanti virus e bachi abbia sto sistema, nooooo! È stato un piacere (ma anche no) disquisire con un muro, ciao.

stiga holmen

Honeypot e fake data...

Gabriele Di Bari

Mah, basta andare su apple developer e scrivere URL-Schemes, non c'è il broadcasting alla android.

sardanus

la frase però non dice solo di evitarlo se è sconosciuto, ma se è sconosciuto E ha dei permessi strani E ha delle attività sospette in background.
Forse non hanno scelto la forma più corretta per esprimerlo ma si tratta di AND e non di OR (scusa la digressione in elettronica lol)

firefox82

Non tutte le app gratis sono malware, non tutti i malware sono gratis

000

le persone quando le educhi?...ieri sera per ridere ci siamo visti i video delle selezioni per il grande fratello...e fidati che non ci credi che esistano persone così ignoranti e poco intelligenti, eppure ce ne sono...è gente che ha perso il treno quando era alle elementari, ora pensi che gli importerà mai di informarsi su cosa si intende per "tallone d'achille" o qual è il presidente gli stati uniti?
Altro esempio, la mia morosa fa consulenza bancaria ed è sempre meravigliata che le persone abbiano sottoscritto azioni di questo o quello senza sapere a quali rischi andavano in contro... e le dico sempre, per te è addirittura banale perché lavori nel settore, ma il muratore artigiano che se ne intende di costruzioni secondo te cosa ne capisce di banca? quando trova il tempo di leggere 10 pagine fitte fitte di informativa sull'investimento?....e poi tu che sei brava in banca, come capisci se il muratore che ti ha fatto la casa è andato a risparmio sui materiali e magari tra 1 anno ti casca l'intonaco?
Non in queste situazioni non puoi educare devi proteggere e prevenire.

000

"Un impiegato B acquisisce l'informazione B. Nel posto di lavoro (l'OS) ci sono barriere altissime e impenetrabili che ci impediscono di comunicare tra di noi (in nessun OS è così, perchè non funzionerebbe nulla, ma ammettiamo che possa funzionare). Alla pausa pranzo, io e B usciamo e andiamo a mangiare al ristorante (server) dove ci potremo scambiare tranquillamente tutte le informazioni che vogliamo. E nessuno potrà impedircelo."
:-D :-D :-D :-D :-D :-D
mi ricorda quello che è successo quando la mia morosa ha preparato i test per assumere lo stagista del suo ufficio...il ragazzo A lavorava(male) in ufficio con la mia morosa(ci tengo a sottolineare che è solo una dipendente) e decisero di piazzarlo in un'altra azienda e prendere uno stagista B per rimpiazzarlo. A e B hanno fatto l'università insieme.
Visto l'importanza dell'ufficio in questione, la mia morosa sottopone dei test ai candidati stagisti e li valuta, non pensando in una mossa sleale non aveva variato i test(una serie di esercizi con Excel spaventosi...non auguro a nessuno...) dalla volta prima. Mediamente i candidati ne risolvono 3 su 10, il soggetto B ne risolve 8....La mia morsa pensa: azzo questo è un genio...lo richiamano per un secondo colloquio con domande sul test e fa una fig. di M(che non è un soggetto della storia, ma proprio la roba puzzolente :-D ...). Morale della favola B ha dovuto ammettere di essersi fatto passare gli esercizi, e quindi non è stato assunto mentre A che era già in odore di trasferimento è stato spinto ad accelerare il suo abbandono...

Riportato ad android, perché Google non si fa dare la lista di questi(magari partendo dai 33 peggiori) e gli rimove l'accont con tutte le loro app?...farebbe anche bella figura scrivendo una mail a chi le ha installate dicendo: caro utente in ambito di controlli di sicurezza alcune app da te installate non rispettavano i nuovi standard e sono state bloccate e rimosse dal play store nel tuo interesse.

Pirupa

Grazie Android

89ersboy

Secondo voi tutte queste app "gratis" cosa chiedono in cambio?

Tom

Il problema è che se le app si scambiano dati lato server nessun OS per quanto progredito glielo potrà impedire. Esempio, io sono l'impiegato A e al lavoro acquisisco l'informazione A.Un impiegato B acquisisce l'informazione B. Nel posto di lavoro (l'OS) ci sono barriere altissime e impenetrabili che ci impediscono di comunicare tra di noi (in nessun OS è così, perchè non funzionerebbe nulla, ma ammettiamo che possa funzionare). Alla pausa pranzo, io e B usciamo e andiamo a mangiare al ristorante (server) dove ci potremo scambiare tranquillamente tutte le informazioni che vogliamo. E nessuno potrà impedircelo.

Fra86

Quindi per semplicità non si dovrebbero educare le persone?

000

Ok, in effetti il tuo ragionamento è giusto.
Però, secondo me, non hanno trovato la soluzione migliore per l'utente:
1-la maggior parte manco sa cosa sono sto permessi e a cosa servono.
2-non ha mai selezionato gli sviluppatori, così ci sono tanti seri e tanti che sono li per fare soldi col minimo sforzo, o magari si scordano per trovare sistemi fraudolenti per fare più soldi...

Cristian P.

Sì col P8 Lite puoi impedire l'accesso alla rete tramite dati mobili, col wifi, in background e roaming.

(Ho scritto "col P8 Lite" perché lo posseggo ma sicuramente si può fare anche con altri loro modelli)

Vick300

Chiamate i power rangers:0

Rigghiero Stoppano

E' più o meno l'orientamento attuale di questi aggeggi che qualcuno si ostina a chiamare telefoni, più che scendere nel dettaglio e di parlare di specifici applicativi. Non c'è consapevolezza diffusa riguardo queste modalità di raccolta dati e dei dati stessi.Il vantaggio loro è che si sta discutendo di aspetti apparentemente impalpabili, per noi praticamente invisibili, ma per questi profeti del business del terzo millennio, una miniera d'oro, diamanti e pietre preziose. Si dice che la consapevolezza comune si costruisce col tempo, in questo caso non possiamo fare altro che subire ed augurarci che ai nostri figli vada meglio. Ne dubito.

PS:
Per i fanatici dei commenti dei vari app store, quelli che "vorrebbero prodotti gratuiti qui ed ora, come se non ci fosse un domani", dovrebbero tenere molto ben presente queste informazioni sapendo che, al mondo, nessuno lavora gratuitamente, e che se un prodotto arriva nelle tue mani a titolo gratuito, forse un alone di dubbio dovrebbe venire di default.

Gios

Scherzi a parte toir che diamine sta facendo! Il Milan ha fatto un gran lavoro con i giovani e spendendo poco ha fatto una squadra discreta.

sickOfTech

Puoi passare parametri key value? Ad esempio come per gli intent Android? Io penso di sì . Poi non capisco a cosa ti riferisci quando parli di comunicazione broadcast. Non sono per nulla esperto di Android ma io ricordo che i messaggi broadcast sono specifici (es batteria scarica) ed non inviabili da tutte le app.

sickOfTech

Esatto. Oltretutto è LEGALE. Se noi non leggiamo prima di dare i consensi è colpa nostra

sickOfTech

Neanche in Android, ma basta un accesso ad internet

rsMkII

Capito! Quindi il 90% degli spammer te li togli dal c@zzo! XD

M_90®

aaaaaaaaaaaaarrrrrrrrggggggggggggggggggggg

Pass Pass

Se una persona ha dati importanti non può certo affidarsi a Google,se poi li serve solo per YouPorn va benissimo

Pass Pass

É inutile iOs regna sovrano,i cinesi o koreani posso fare i telefoni piu belli ma dentro sono quello che sono con google,la gente ancora non lo capisce

Gios

No JuventusXP

Giardiniere Willy

Primo: leggiti la risposta giù. L'os c'è. La soluzione è stata rilasciata da un anno. Si chiama marshmallow. Se a te non va di cambiare telefono o al produttore non va di aggiornarlo, non significa che Android non supporta simili dicon funzioni.

Secondo: Ios non so da che versione perché non ho iPhone, chiedi a qualcuno come marioz, scannatore, felix, rakelel... Siamo su un blog, siamo tanti. Qualcuno che ti risponde c'è. Non ho capito il "sulla 10 puoi impostare i dirittti solo una volta installata (hanno copiato in malomodo il sistema di Microsoft"

Giardiniere Willy

Ma che vuol dire? Come se ti dicessi che xp è installato sul 10% dei pc e quindi Windows non ha le app. Windows 10 è quello attuale e ha le app. Stessa cosa io considero l'ultima versione di Android, non quella di tre anni fa. Ma come ragionate. Kitkat è quello e non lo cambiate. Il rimedio è stato fatto. Si chiama marshmallow. FINE

Gabrix93

Non c'è nulla di nuovo, per me possono pure tracciarmi, ma se mi devono consumare batteria o "rallentare" i processi questo me le fa girare

CAIO MARIOZ

per fortuna l'ho abbandonato in tempo, sempre più soddisfatto della scelta, l'ho fatto abbandonare anche ai miei parenti, tutti enormemente soddisfatti

Vick300

È morto xD

Mattia Righetti

Però impari l'inglese

Mattia Righetti

Bhe cosa c'è di nuovo? Ora te ne rendono consapevole mostrandotelo, prima lo facevano lo stesso solo che non te lo facevano pensare a quanto pare ;)

Vick300

Passiamo tutti ad iphone e saremo sicuri xD google ci proteggi o no? XD

000

No, non è la soluzione corretta ma è quella più semplice da dare in attesa che google si prenda la briga di fare qualcosa. Su google possono pubblicare cani e porci(...ma anche angeli e santi, non c'è dubbio!) e non c'è controllo....invece ti faccio l'esempio di Windows (abbiamo appena creato un gruppo di dev per convertire programmi open source in UWP app), li prima devi farti certificare come developer(non è gratis) e poi inviare l'app che deve venir verificata da Microsoft solo allora viene pubblicata. Sembra una seccatura, ma almeno tieni un po' di controllo sullo store...anche perché mi pare di aver capito che se fai una cxxata ti rimuovono l'account con tutte le app, non solo quella incriminata.

Aster

Skype da sempre,ma Facebook diciamo e come un contenitore foto compleanni matrimoni nascite e più completo in ambito famiglia lontana :)

Aster

Anche netguard?mi sembra funzioni senza root

000

Io qualche smanettamento pesante l'ho fatto, Cercando sempre di documentarmi il più possibile. Però in un occasione avevo scaricato un app per controllare vari parametri della CPU è del SOC in generale e mi sono trovato con delle autorizzazioni che si riattivavano da sole....

Fra86

Il consiglio dato alla fine dell'articolo dall'autore sicuramente non aiuta.

Elias Koch

eehh, vero, ma addestrarlo richiede tempo.

Tony Musone

Generalmente no, però è capitato quando QuickPic è stato venduta ed ha introdotto il cloud e il relativo accesso costante alla rete. Disinstallata

Ma a parte questo caso, per evitare problemi ed inconvenienti, con qualsiasi strumento tecnologico e non, bisognerebbe non spingersi oltre le proprie conoscenze e capacità. IMAO

Desmond Hume

ma google oltre a prendersi la percentuale sulle app vendute sul playstore fa qualcosa?
No perchè a sentire queste notizie il playstore sembra un puttanaio autentico.

000

ok grazie del chiarimento...dubitavo che un app del genere facesse caxxate...però in giro ce ne sono tante, immagino che ti sarà capitato anche a te di trovarne e di chiederti, perché mai vorrà l'accesso a quella cosa li???...

Pester²

:( appunto, il pellegrino mi sembrava più carino e magari più efficace: si getta in picchiata, gli spezza le vertebre con il dente e in più assisti ad uno spettacolo di caccia in natura!

Vinx

Avrebbero dovuto rilasciarla e permettere la cancellazione delle app spione...d'altronde si sa che a Google piacciono i ns dati chissà che non siano app create proprio da loro

Elias Koch

Su android al primo avvio dell'app ( o la prima volta che l'app cerca di accedere al servizio o alla memoria) ti appare un pop up che chiede il permesso, se poi vuoi revocare o controllare i blocchi/concessioni é come su ios, devi scorrere la lista kilometrica e cambiarli uno ad uno, ma in prima istanza é veloce.

Pester²

Appunto, è proprio se l'app ti chiede accesso ad X dato che è funzionale al suo utilizzo: se una calcolatrice ti chiede di accedere alla galleria grazie che capisci che qualcosa non va.
Cosa ci fanno con i dati non è un'altra cosa, è proprio il problema.
L'utente accetta e usa l'app sennò ciao: praticamente non installi più nulla. Non è una soluzione, è mettere da parte il problema. La soluzione è evitare che casi del genere si presentino.
Per il discorso delle licenze invece sono d'accordo

franky29

Non ci vedo nulla di strano anche perché tu hai dato il consenso alla app1 ora quella può fare ciò che vuole

Tony Musone

forse ti riferisci ad un mio post, che era provocatorio, dato che l'accesso di waze al telefono è per permettere di accedere al modulo telefonico quando tappi su di un numero presente su waze come su gmaps

Vinx

franky29

Ma una lista delle app?

Recensione Sony Xperia XA1: equilibrato in tutto meno che nel prezzo

Xiaomi Mi 6 vs OnePlus 3T: generazioni diverse, prestazioni molto simili | Video

Google I/O 2017: tutto quello che vi siete persi | Video

Recensione Xiaomi Mi 6: un potente Snapdragon 835 e 6GB di memoria RAM