Un’applicazione per Android ruba dati a milioni di utenti

A quanto pare Steve Jobs aveva ragione. Bisogna filtrare tutte le applicazioni dell’App Store per evitare che qualcuno introduca un software con codice cattivo. Ora lo sanno bene in Google considerando che nell’Android Market è stato scaricato milioni di volte un programma che ha permesso a un utente cinese di rubare dati sensibili.

L’applicazione è stata bannata dal negozio dopo la segnalazione di John Hering e Kevin MaHaffey di Lookout. Il software, che si fingeva un programma con una collezione di sfondi, ha rubato dati della SIM, SMS, password e altro. Un incidente che scredita il negozio di Android. Spero per loro che non ci siano altre applicazioni simili ancora attive, ma come si fa ad averne la certezza?

[via venturebeat]

11 Comments

  1. è semplice, mentre scarichi un’applicazione, ti dice quali “servizi” del cellulare usa l’app stessa!

    quindi se un’app di sfondi, ti dice che userà i contatti della tua sim, c’è qualcosa che non và

    secondo me basta stare attenti a quello che si scarica, è come se scaricassi un virus su mac, perchè ho cliccato ok senza leggere nulla, e me la prendo con apple perchè non filtra le app per mac 😉

  2. Be ora mi aspetto uno scandalo di proporzioni bibliche, MILIONI di dati sensibili O_o non sono mica 400 (giusto per dire un numero) ^__^.

    Quote @ FabrizioC
    e Cydia?
    Non valgono le stesse considerazioni finali?

    Identiche considerazioni finali, con una piccola differenza, Cydia è uno store non ufficiale dove chiunque scarica (gratis o a pagamento) sà che non vi è nessuna garanzia, anzi sà che la garanzia dell’iphone l’ha persa per ora (ora vediamo l’evolversi della situazione JB), invece, l’android market è LO STORE UFFICIALE di google e farsi rubare milioni di dati non fa sperare niente di buono.

  3. Se chi installa applicazioni a caso e senza fare attenzione è un allocco è giusto che finisca così.
    come ha detto correttamente enrico durante l’installazione all’utente viene presentata la lista dei servizi che il programma utilizza, se premo OK senza leggere non è colpa di Google.
    Forse gli utenti Apple si scandalizzano perchè stanno “disimparando” a pensare con la loro testa dato che ci sono altri che lo fanno per loro (piccola provocazione).

  4. Qualche giorno fa Apple ha rimosso dall’apple store un’applicazione che attivava il tethering di nascosto.
    Evidentemente, anche dove vengono controllate, le app possono nascondere qualcosa.

  5. Non serve censurare e filtrare le applicazioni.

    Semplicemente, come dice Enrico, ogni applicazione all’avvio dovrebbe chiedere il permesso prima di poter usare servizi specifici, in maniera analoga a quello che succede con la posizione GPS o con le notifiche Push.

    Tra l’altro il controllo fatto da Apple molto spesso risulta essere banale, visto che mi è capitato molte volte che applicazioni dopo gli aggiornamenti andassero in crash appena avviate.
    Se (a volte) non verificano neanche che un applicazione parta, figuriamo se vanno a controllare il codice alla ricerca di comportamenti strani.

  6. @neodago: perché tu se vuoi fare una applicazione con codice malevolo, tra le specifiche includi i servizi che usa il codice malevolo?

  7. piccolo OT… trovo civile che android market permetta il rimborso per le applicazioni entro 48 ore… sullo store dell’iphone l’applicazione la compri e basta

  8. @Jack: ogni applicazione, su Android, contiene al suo interno la lista dei servizi che usa (e.g. “Accesso ai contatti”, “Ricerca posizione via GPS”, “Comunicazione via Internet”…). Quando installi l’applicazione, il sistema presenta all’utente questa lista, evidenziando eventuali permessi “pericolosi”, di modo tale che l’utente possa venirne a conoscenza ed eventualmente annullare l’installazione. Una volta installata l’applicazione, Android conserva una copia di questa lista in una locazione inaccessibile all’applicazione (di modo tale che essa non possa essere modificata), e ogni volta che viene richiesto un servizio il sistema operativo controlla che sia tra quelli consentiti. Nel caso che non lo sia, il servizio viene negato. In questo modo quando installi l’applicazione hai la certezza che la lista che ti viene presentata è la stessa dei servizi effettivamente usati.
    A me questo modello non sembra male… consente lo sviluppo di applicazioni che sfruttano ogni caratteristica del terminale ma allo stesso tempo garantisce la sicurezza, un ottimo compromesso direi.

  9. Come si deve stare attenti a ciò che si scarica ????
    Cacchio, è lo store ufficiale di google, controllato da google, io DEVO avere la garanzia che qualsiasi app che scarica non sia pericolosa.
    La apple forse avrà adottato delle regole troppo rigide e delle restrizioni ma è sempre meglio che avere malware che girano nel telefono !

  10. @Link il controllo di tutte le applicazioni è impossibile… difatti anche sull’App Store, seppur controllato, ogni tanto compare qualche applicazione ribelle. Poco tempo fa uno sviluppatore era riuscito a farsi approvare un’applicazione con funzione di “torcia” che in realtà conteneva un intero proxy SOCKS (http://www.macrumors.com/2010/07/20/flashlight-app-sneaks-tethering-into-app-store-for-now/)… una cosa del genere con il sistema di permessi di Android sarebbe stata subito scoperta.
    Un altro esempio è un’applicazione per il calcolo delle mance al ristorante (!) che inviava dati sulla propria posizione (http://blog.iphone-dev.org/post/164789333/a-pinch-too-much).
    Dallo studio di Lookout (http://blog.mylookout.com/2010/07/introducing-the-app-genome-project/), che poi è lo stesso studio che ha portato alla scoperta della collezione di sfondi “maligna”, si evince come le applicazioni che accedono a dati sensibili sono più numerose su iPhone piuttosto che su Android, e purtroppo sulla piattaforma di Apple non c’è modo di sapere se un’applicazione ha accesso o meno a certi dati – ad eccezione delle informazioni sulla posizione. Sarebbe interessante se Apple decidesse di implementare un sistema di permessi sul modello di Android, di modo tale da consentire agli utenti di sapere cosa le applicazioni installate possono fare.

    P.S. Come si può leggere da un post successivo degli stessi autori della ricerca (http://blog.mylookout.com/2010/07/mobile-application-analysis-blackhat/) l’analisi iniziale è stata un po’ ingigantita… l’applicazione non legge SMS, password e altro – come erroneamente riportato – ma bensì “solo” il proprio numero di telefono, il numero di telefono della segreteria e l’IMSI della SIM. E’ chiaro che anche questi sono dati sensibili, ma la situazione è molto meno grave di quanto inizialmente ipotizzato, e come specificano i ricercatori di Lookout la raccolta di questi dati non sono necessariamente collegabili a un comportamento malevolo.

Cosa ne pensi?