Android, oltre 1000 app ottengono dati senza permesso
TecnologiaLo rivela un nuovo studio che ha analizzato quasi 90.000 app: alcuni software aggirano il sistema di autorizzazioni di Android per ricavare informazioni come la posizione o il codice Imei
Secondo un nuovo studio, oltre 1000 app scaricabili dal Google Play Store di Android raccolgono dati dai device sui quali vengono installate anche quando gli utenti non danno il consenso. La ricerca è stata presentata al PrivacyCon 2019 ed evidenzia come molte applicazioni trovino di fatto il modo per aggirare il sistema di permessi di Android e arrivare così a svariate informazioni, tra cui quelle relative alla localizzazione. Secondo gli autori del lavoro, queste vulnerabilità sono state segnalate a Google nel settembre 2018: il colosso di Mountain View sostiene che l’arrivo Android Q dovrebbe risolvere i problemi, ma solo per i device che lo supportano.
Dati senza permesso: i trucchi di 1325 app su Android
Ai fini dello studio, i ricercatori hanno esaminato più di 88.000 applicazioni disponibili sul Google Play Store, monitorandone il comportamento quando l’utente negava il permesso di accedere a determinati dati. Da qui la scoperta che 1325 app ignoravano la mancata autorizzazione, ottenendo quelle stesse informazioni dalle connessioni wi-fi o dai metadati presenti nelle foto scattate come nel caso di Shutterfly, che secondo gli autori ricavava le coordinate Gps dalle immagini inviandole ai propri server a prescindere della scelta dell’utente. Una versione che tuttavia è stata negata degli sviluppatori, come spiega Cnet. Gli esempi tuttavia sono innumerevoli: altre app sfruttavano infatti altri software, che avevano ottenuto il consenso dall’utente, per raccogliere informazioni salvate legittimamente sulla scheda SD del dispositivo e ‘rubarle’. Tra queste ci sarebbe anche il codice Imei, che identifica il telefono in maniera univoca.
Android Q per risolvere le vulnerabilità
Come riporta Cnet, nella lista di queste app compaiono anche quelle sviluppate da colossi come Disney, Samsung e il cinese Baidu, che non hanno tuttavia commentato la vicenda. Secondo Serge Egelman, che ha presentato lo studio al PrivacyCon 2019 e farà lo stesso in modo ancor più dettagliato in agosto alla Usenix Security conference, “se gli sviluppatori di app possono aggirare il sistema, allora chiedere agli utenti il permesso è pressoché insignificante”. The Verge spiega che, secondo Google, l’ultima versione del proprio sistema operativo, Android Q, dovrebbe riuscire a correggere queste vulnerabilità. Tuttavia, ci sono molti smartphone che non saranno in grado di scaricare l’aggiornamento, rimanendo potenzialmente esposti ai trucchi utilizzati dalle app in questione.