Quasi 2.000 bug in 100 app di incontri: così i tuoi dati possono essere rubati

Uno studio su 100 app di incontri, ha rivelato un quadro inquietante: sono state rilevate quasi 2.000 vulnerabilità, il 17% delle quali è stato classificato come critico. L’analisi è stata condotta da AppSec Solutions.

I risultati dello studio sono stati pubblicati da Vedomosti. Come ha spiegato alla rivista Nikita Pinaev, responsabile dell’analisi della sicurezza di AppSec Solutions, un altro 23% delle vulnerabilità identificate è stato classificato come di gravità media, mentre il 14% è stato classificato come di gravità bassa.

I problemi rimanenti rientrano nella categoria Info o rappresentano errori organizzativi, di rete, logici e di altro tipo. Secondo Nikita Pinaev, il problema critico più comune era l’archiviazione di dati sensibili direttamente nel codice sorgente: questo errore è stato identificato in 22 applicazioni. In altri 46 casi, le credenziali, inclusi login, password e token, sono state trasmesse in chiaro.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

In 12 applicazioni, le vulnerabilità erano correlate a errori di autenticazione e gestione delle sessioni e, in 40 casi, a una configurazione o a un funzionamento improprio dei servizi cloud. Andrey Sobolevsky, sviluppatore mobile presso EvApps, ha osservato in un commento a Vedomosti che, in media, una singola app mobile contiene dalle 20 alle 30 vulnerabilità.

Queste sono spesso legate a un’archiviazione dei dati non sicura, a meccanismi di identificazione e autenticazione degli utenti deboli e a iniezioni SQL. Secondo Anton Prokofiev, responsabile del supporto operativo per la piattaforma Solar appScreener di Solar Group, le vulnerabilità delle app mobili sono comuni e ampiamente indipendenti dal settore.

Le cause principali, riportano i ricercatori, sono la mancanza di test in fase di sviluppo e l’utilizzo di componenti open source non testati. Nikolai Anisenya, responsabile dello sviluppo di PT Maze presso Positive Technologies, ha aggiunto che l’utilizzo di strumenti per ostacolare il reverse engineering ridurrebbe il numero di vulnerabilità rilevate di circa il 40% e persino della metà in alcune categorie di applicazioni.

Anton Prokofiev ha anche osservato che le cinque categorie di vulnerabilità più comuni nelle app di massa, che oltre agli incontri, includono la consegna di cibo a domicilio, lo shopping online e i servizi farmaceutici, sono cinque:

• Una richiesta DNS che consente agli aggressori di reindirizzare le richieste a risorse di terze parti.
• Una vulnerabilità di riflessione non sicura consente l’esecuzione di codice arbitrario.
• Errori nell’implementazione dei protocolli di crittografia.
• Utilizzo di algoritmi di hashing deboli.
• Utilizzo di protocolli di scambio dati non protetti.

Tali vulnerabilità sono presenti in tre applicazioni su quattro e aprono la strada ad attacchi MITM (man-in-the-middle), in cui un aggressore si infiltra nel canale di comunicazione.

Questo, a sua volta, può portare alla fuga di dati degli utenti. Dmitry Ovchinnikov, Information Security Architect di UserGate uFactor, ha osservato che uno dei principali pericoli di tali attacchi è la loro invisibilità agli occhi degli utenti.

Inoltre, gli aggressori possono non solo rubare dati, ma anche accedere a funzionalità nascoste dell’app e utilizzare queste informazioni in altri attacchi, anche mirati. Vladimir Ivanov, Information Security Engineer di Spicatel, ha anche avvertito che gli stalker, ad esempio, potrebbero sfruttare le funzionalità delle app di incontri per spiare gli utenti.

Secondo AppSec Solutions, il 70% delle app mobili presenta vulnerabilità. Gli aggressori le sfruttano attivamente per monetizzare l’accesso tramite phishing, attacchi di massa su larga scala, estorcendo denaro per servizi inesistenti e abusando degli account e degli abbonamenti a pagamento di altri utenti.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.