Symantec avvisa: attenzione ai progetti open source su Google Play

11 Gennaio 2018 54

Andare contro l'open source fa storcere il naso ai fautori del software libero, che rivendicano il diritto di modificarlo, contribuendo a migliorarlo, e di condividere con la community le risorse sviluppate. Gli esperti di sicurezza di Symantec, tuttavia, non criticano il principio di base, ma mettono in guardia contro i possibili rischi determinati proprio dalla libertà concessa a chiunque di modificare un software non ''blindato". Lo fanno con espresso riferimento ad app Android open source inserite anche nel Play Store di Google, il cui codice è stato utilizzato per creare varianti non ufficiali e dannose per l'utente finale. Symantec afferma al riguardo:

L'open source identifica un software che chiunque può liberamente utilizzare, modificare e migliorare. In termini di sicurezza è un'arma a doppio taglio. Da un lato, la trasparenza dell'open source significa che le falle possono essere rapidamente trovate da altri sviluppatori e corrette. Ma dall'altro, ciò significa che le falle possono essere rapidamente trovate e sfruttate dai malintenzionati.

Il caso Teligram, app Android su Google Play

Un esempio è rappresentato da "Teligram [NEW VERSION UPDATED]" - questo il nome completo - un'app ora rimossa dal Play Store, che in comune con la ben più nota app di messaggistica istantanea aveva non solo, in parte, il nome (volutamente storpiato per creare confusione nell'utente finale), ma anche un'interfaccia molto simile, stessa descrizione nel Play Store e, soprattutto, un codice (open source) condiviso ... con qualche aggiunta nella versione non ufficiale.

Esaminando il codice infatti- per la precisione il manifest app che ogni app Android deve avere - si può notare che Teligram ha aggiunto ulteriori librerie per produrre introiti mediante la visualizzazione di annunci pubblicitari. Chi utilizza Telegram sa che questi annunci sono assenti nella versione ufficiale. Una pubblicità tra l'altro invasiva, mostrata sia nella lista delle chat, sia con un messaggio a tutto schermo.

Il manifest app di Telegram a sinistra e di Teligram[NEW VERSION UPDATE] a destra. L'app non originale contiene le librerie necessarie per la visualizzazione di avvisi pubblicitari.

Teligram, come anticipato, è stata rimossa dallo store di Google, ma il punto centrale della vicenda sta nella possibilità di essere riusciti a realizzarla basandosi sul codice originale di Telegram, poi modificato e piegato a finalità poco in linea con la filosofia dell'app.

Malware sviluppato con il codice open source di Telegram

Il secondo esempio portato da Symantec va oltre una semplice fake app che l'utente con un minimo di esperienza può riconoscere come tale e fa riferimento allo sviluppo di un vero e proprio malware realizzato usando il codice open source di Telegram, identificato con il nome di Trojan.Gen.2 e distribuito tramite app store di terze parti. L'app utilizza lo stesso nome del package di Telegram, ovvero org.telegram.messenger, e la medesima icona, ma richiede un maggior numero di autorizzazioni per accedere a informazioni sensibili ed attiva servizi dannosi per l'utente finale.

Nello specifico, dopo l'installazione e l'avvio, il malware decodifica un URL da un byte array e scarica dal medesimo un file JAR o DEX tramite il quale gli autori del malware possono eseguire molteplici attività, ad esempio l'installazione di una backdoor o di un ad clicker. Difendersi contro Trojan.Gen.2 è possibile seguendo i suggerimenti proposti dai ricercatori (ved. QUI), e utilizzando un po' di buon senso, a partire dal consiglio di non scaricare app provenienti da fonti non ufficiali. Per quelle inserite in store ufficiali, come Teligram, è consigliato controllare il nome dello sviluppatore, i commenti e i voti ricevuti.

L'analisi di Symantec si conclude sottolineando - se ce ne fosse necessità - l'enorme importanza dei progetti open source, circostanza che, però, non deve far sottovalutare i rischi di un loro abuso:

Mentre i progetti open source possono rappresentare un enorme beneficio per gli sviluppatori e la community, possono anche essere utilizzati dai criminali per creare convincenti imitazioni di app affidabili. Gli utenti dovrebbero fare attenzione ed assicurarsi che l'app che stanno scaricando è esattamente ciò che credono che sia.

Il vero top gamma Nokia? Nokia 8, in offerta oggi da Tiger Shop a 389 euro oppure da ePrice a 440 euro.
Apple Iphone 7 128gb Red Rosso è disponibile da puntocomshop.it a 619 euro.

54

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Dario · 753 a.C. .

Ahahahaha

Oliver Cervera

Dario fallo tu! :D

Antsm90

E non usarle allora, la cosa bella degli store è che puoi scegliere quello che più preferisci (che poi da Android MM in poi puoi dare i permessi uno ad uno in realtà, ma non scaricherei comunque un'app del genere)

Eros Nardi

Guarda, dire che Google è uno scolapasta nella stessa settimana in cui si sono scoperte falle su tutti i processori Intel, una gestione degli aggiornamenti Microsoft che genera bsod agli utenti, iPhone che esplodono in negozio e MacOS che danno privilegi inserendo una password a caso va oltre il ridicolo

vincy

Ma basta.
Sei un f4n con i paraocchi

vincy

No perché tutto é uno scolapasta: da chrome al ps

Cristian P.

Toh guarda qui: l'app viene da Honk Hong e richiede la posizione...... Che se ne fa una torcia della mia posizione??

https://uploads.disquscdn.c... https://uploads.disquscdn.c... https://uploads.disquscdn.c...

Cristian P.

E chi mi assicura che se l'app Torcia mi chiede la posizione poi non registri veramente dove mi trovo? E che tale permesso resti inutilizzato? Oppure se chiede di conoscere "lo stato del telefono, il numero di telefono delle chiamate in entrata, lo stato del wifi, tutte le informazioni possibili sul mio account" e così via..

Se vai a vedere app simili, sono tutte vietnamite, arabe, cinesi, indiane e cosi via.. E onestamente non mi fido minimamente ad usarle (indipendentemente dal fatto che non mi serve un'app torcia).

sopaug

notizia data da schifo per generare polemiche, leggendola così quelli di symantec sono degli i*dioti patentati mentre la fonte contiene una analisi decisamente più sana. La prima regola nel campo della sicurezza è "security obscurity is not security at all". Non è nascondendo il codice che eviti i cloni.

Antsm90

I permessi assurdi li richiedono le app ibride per semplice incapacità dei programmatori (di default quelle app caricano il manifest di permessi, è lo sviluppatore poi che deve ripulirlo ed eventualmente disinstallare i plugin inutili), ma se nel manifest compare un permesso non significa che l'app lo utilizzi davvero

Google elimina le app clone e cose simili, magari ogni tanto gliene capita una dannosa ma non così spesso (e comunque è capitato anche su iOS), di norma le bocciano quasi tutte

Cristian P.

Sti peracottari hanno messo l'icona del defunto Google Space alla loro app Teligram

Cristian P.

Ahahahah, nel Play Store non ci sono bug e malware??

Eros Nardi

Google? No, Google è un'azienda.
Ti riferivi forse ad android?
O forse al play store?

000

:-D https://uploads.disquscdn.c...

Antsm90

A casa mia uno store scolapasta è uno store in cui dilagano bug e malware, cose che al momento nel Play Store non sono presenti (infatti l'articolo parla di store di terze parti)

Danny #

Dico la stessa cosa :)

vincy

Il play store di chi é?
Della giochi Preziosi?

000

purtroppo il concetto che ha fatto passare google con android ha rovinato anche il mondo dell'open source. Chi fa app gratis lo fa per fare soldi non perché crede in un servizio indipendente che vuole fare gli interessi dell'utente.
E' davvero una brutta situazione, perché la gente si è abituata ad avere tutto gratis e gli sviluppatori ad inculare la gente con pubblicità è furto di dati. Gente quando un app è ben fatta pagatela 1-2 € (di solito costano come un caffè) e almeno garantite uno sviluppo onesto(ovviamente magari prima conviene informarsi chi è lo sviluppatore, per di furbi ce ne sono un sacco).

DeeoK

Beh, quello è vero, ma è un'operazione illegale (il fatto che sia open source non implica che non ci sia una licenza). Se ci guadagni sopra è solo un aggravante.

pirugge

Bhe, ma in quel caso non avrebbero raggiunto lo stesso scopo. A me sembra che sti simpaticoni di Tiligram, non volessero fare una brutta app che una volta installata, la si disistallasse subito. Questi hanno preso l’app ed aggiunta pubblicità invasiva... cioè te la usavi come l’app originale...

Antsm90

Se tu avessi letto l'articolo sapresti che si parla di app scaricate da store di terze parti. Sul Play Store al massimo ci possono essere fake app, ma confondere "Telegram" con "Teligram [NEW VERSION UPDATED]" richiede una massiccia dose di incapacità (app con nome uguale non ce ne sono, e comunque anche quelle con nome simile dopo un po' vengono eliminate)

DeeoK

E che ti cambia? Tanto sono app malevole, il codice può essere anche roba indecente tipo un sacco di while(true).

pirugge

Direi il fatto di avere il codice sorgente dell’app originale da copiare. In effetti aiuta!

vincy

Google ormai é uno scolapasta.
Per non parlare di Chrome che é un cess0 a pedali.

ROOT

Al contrario, è superficiale quest'analisi. Non c'entra niente il fatto della natura del codice Open Source. Se poi parliamo dei titoli delle app, non posso far altro che darti ragione.

ROOT

Precisi un corno, il software Open Source NON c'entra assolutamente nulla in questo caso.

ROOT

Che poi il software Open Source non c'entra niente in questo caso. Si

ROOT

Non è necessario imitare la grafica, si può decompilare una qualsiasi .apk con l'aggiunta di parti di codice per creare backdoor, ad esempio. Il payload funziona lo stesso, i permessi sono quelli che cambiano (difatti bisogna camuffare il backdoor su qualsiasi sistema operativo, basta Windows Defender a volte).

ROOT

Perché con software su GitHub gratuito e una distro Linux avanzata, non riesci a decompilare una qualsiasi applicazione per inserire codice maligno?

CAIO MARIOZ

Quello è un problema difficilmente risolvibile

Ciò che riesci a fare è rendere la vita peggiore a questi energumeni, rigettando queste app grazie alle maglie più stringenti (anche nel titolo)

Shrek

Ma guarda che se uno confonde Telegram con con quel clone lì ha problemi che Google non può risolvergli XD

Shrek

Ah perché adesso si può modificare solo il codice delle app open XD XD XD

alexhdkn

Quando non puoi batterli e inizi a spalare letame addosso

M3r71n0

E' dioventato il primo os mobile al mondo perchè era open source.
Si grandissimi ipocriti del ca........... o.

Controllate meglio le app che pubblicate sullo store, ancor prima di pensare solamente a nominare l'Open Source.

franky29

anche Teleglam la velsione cinese

Dario · 753 a.C. .

Ora quelli di Teligram svilupperanno l'app Symantic

Graziano Ansaldi

Symantec sempre precisa come sempre. Peccato non apprezzata dai soliti "Geni" Mr. Sotutto che gravitano in Rete. Qui sono tutti Geni 'come Trump. Il mitico Coyote metteva fuori dalla porta la scritta che più vi rappresenta : "Genius at work".

StriderWhite

"creare convincenti imitazioni di app affidabili"

TELIGRAM... :D :D :D :D :D :D

StriderWhite

Go home Symantec, you're drunk...

Maurizio Mugelli

come qualsiasi virus quindi

Quello che nessuno dice

Che l'app può praticamente essere riprodotta con dentro un malware?

boosook

Quindi il problema di "Teligram - [NEW VERSION UPDATED]" sarebbe il codice open source? Ma mi facciano il piacere...

DeeoK

Che boiate.
Cosa c'entrerebbe il fatto di essere os con la presenza di cloni?

Leslieeeeee

Non è vero! Chiedo un ulteriore controllo con la VAR

Leslieeeeee

Antonio Mariani

pixel dungeon è il classico esempio di come l'open source sia una risorsa utile per esempio visto che ci sono innumerevoli versioni tutte abbastanza uniche. premesso che non sono un hardcore gamer...

Antonio Mariani

così come scrivere un'app da zero permette a chi lo vuole fare di creare un software malevolo. dove è la differenza? si può anche copiare un progetto "closed" imitandone opportunatamente la grafica, perché no. Un software open source non è insicuro, semplicemente esistendo una versione ufficiale è ad essa che mi riferisco, i rischi sono nell'affidarsi a versioni non ufficiali o copia, che non tutti sapranno distinguere

CAIO MARIOZ

Ma perché Google non introduce limitazioni ragionevoli nei titoli?
Quel titolo dell’app (costruito ad hoc per fregare gli utenti) non sarebbe mai entrato nell’AppStore.

Mentre devo ancora capire perché su AppStore praticamente non esistono app cloni di altre app (o molto difficilmente) tranne che per whatsapp, soprattutto su iPad, dove dilagano cloni sia gratuiti che a pagamento

(Forse perché su iPad non è ancora presente e Whatsapp inc. non si è ancora lamentata)

Maurizio Mugelli

quindi tutto si riduce a "se scaricate app fasulle oppure da app store pirata potreste prendere virus".
che c'entra l'open source?

Andrej Peribar

Sei sicuro?
pechè c'è scritto

UHDBlog [NEW VERSION UPDATED]

chiederò a symatec

Google Pixel 2 XL con Pixel Visual Core, cosa cambia? | FOCUS

Xiaomi Mi Mix 2 ITALIANO: unboxing, MIUI 9.2 e garanzia | Video

Recensione Amazfit Bip: è lo smartwatch da battere

RECENSIONE Alcatel 3C: 18:9 economico ma senza stupire