AKLab.org

Since 2006

L’app che rubava i dati

Questa è la storia di un’applicazione cattiva costruita col piu classico metodo del cavallo di Troia. Un’applicazione che sembrava dovesse servire a scambiare sfondi in realtà faceva anche ben altro. Rubava dati, password e account email e li spediva su server cinesi.

Subito i difensori della mela si sono scagliati a favore della politica restrittiva di appstore vantando la protezione che godono grazie ai severi controlli di Apple sulle app proposte dagli sviluppatori. La tutela del consumatore insomma. Bello, davvero una cosa bella e degna di stima. Peccato che… la realtà anche questa volta è leggermente diversa. Appstore non si è dimostrato immune da pecche ed errori di valutazione. Vi furono app che nascondevano ester egg tipo emojii o che addirittura abilitavano il tethering nonostante queste cose fossero proibite da apple e dagli operatori partner della mela. Cose sicuramente minori rispetto al furto di dati ma comunque dimostranti la possibilità di errore dei laboratori di Cupertino. Magari app nocive sono ancora in giro su iPhone ma ancora nessuno le ha scoperte..

Con tutto questo non voglio assolutamente gettare fango sull’ottimo lavoro di test e prove che sicuramente Apple fa sulle app, voglio solo dire che tutti possono sbagliare. android Market non ha “leggi” e protocolli così simili per non limitarne troppo lo sviluppo e molto probabilmente per il basilare principio di libertà che sta alla base di android stesso.

Sul Market di Android infatti praticamente chiunque può caricare le proprie creazioni (basti pensare a tutte quelle che esplicitamente richiedono i permessi root) e sta all’utente decidere cosa voler scaricare. Penso che ormai tutti sanno che quando si va a scaricare un’app compare, prima della conferma, una bella schermata che avverte a quali dati/funzioni del terminale dovrà accedere l’applicazione per funzionare. Quel che mi chiedo (e non sono l’unico) è: ma non sembrava strano a nessuno dei milioni di scaricatori che un’applicazione per l’invio di sfondi avesse bisognod i accedere alla connessione dati, ai dati email e ad altre cosette simili? Benchè la descrizione dell’app possa essere in inglese la lista delle funzioni a cui deve accedere vi assicuro che è localizzata in italiano!

Volendo ben vedere più che un difetto del market e dei suoi processi autorizzativi direi che ancora una volta il danno se lo sono creati da soli i cosiddetti utenti punta e clicca: quelli abituati a cliccare ok su qualsiasi popup che gli si pianti davanti senza nemmeno leggerli. Purtroppo molti di questi utenti non si rendono conto di avere per le mani qualcosa di più di un telefono cellulare, non sanno precisamente di avere un minicomputer fatto e finito che fa tante cose tra cui telefonare e non capiscono che devono avere lo stesso livello di attenzione che hanno al pc (e anche su quel livello medio ci sarebbe da discuterne parecchio). Non dico “ben vi sta”..però mi auguro che possa servire da lezione per un futuro.

Su un sito, abbastanza schierato verso la mela, ho letto che l’hanno scaricato 4 milioni di persone. PEccato che l’articolo originale dicesse “da 1.1 a 4.6 milioni. Un dato impreciso perchè android market non rivela dati precisi”

Ma rileggendo bene la news originale appare un update che ai faziosi della mela dev’essere passato in osservato: lookout, la società che aveva scoperto questo traffico di dati, comunica un’altra parte della loro analisi. Dichiarano che c’era si accesso e recupero di dati più o meno sensibili ma che essi non venivano usati per alcun scopo. Dicono inoltre che forse i programmatori hanno peccato peccato nella raccolta selvaggia e nella malagestione di cosa raccogliere e cosa no ma che comunque non hanno ravvisato intenti fraudolenti e/o dolosi per l’utente.

La news originale, sicuramente più interessante del mio punto di vista espresso fin’ora) è reperibile su AppleInsider mentre quella più faziosa…beh è sui siti che sono ko per via dell’aggiornamento wordpress e che ancora non se ne sono ripresi (ma la colpa è dei server…non sarà che usano lo stesso?)

Perdonatemi l’ironia ma dopo aver letto l’ennesima news rimodellata ad arte giusto per sputare fango su android anche il rispetto viene a mancare per qualche istante.

, , ,