AndroidApp

Le app più popolari di Android hanno dei bug da codice riciclato

Almeno la metà delle 50 applicazioni più popolari per Android hanno ereditato vulnerabilità di sicurezza attraverso il riutilizzo di librerie software, secondo il team di sicurezza che ha scoperto la vulnerabilità ‘Heartbleed’ in OpenSSL. I ricercatori del Codenomicon, che per primo hanno pubblicato informazioni sulla vulnerabilità di OpenSSL e coniato il nome ‘Heartbleed’, questa settimana pubblicheranno dei risultati che evidenzieranno che le applicazioni di maggior successo al mondo hanno problemi di sicurezza.

I risultati preliminari dello studio rivelano che oltre la metà delle 50 applicazioni inviano i dati degli utenti a reti pubblicitarie di terze parti senza il consenso dell’utente – spesso con testo in chiaro. I ricercatori hanno concluso che molti degli sviluppatori di queste applicazioni non erano a conoscenza delle vulnerabilità: Olli Jarva, specialista di sicurezza a capo di Codenomicon, ha detto che l’80-90% dei software mobile sono costituiti da librerie ri-utilizzate, la maggior parte delle quali sono disponibili open source. Ha detto che era naturale che gli sviluppatori non vogliono “investire nel reinventare la ruota” ogni qual volta che creano una app.

sicurezza-app-librerie-riciclate-informatblog

Ma mentre “in teoria” la comunità open source dovrebbe aiutare per una migliore qualità del codice a causa del numero di sviluppatori che contribuiscono, i numerosi bug in OpenSSL hanno dimostrato che questo non sempre è il caso. “Stiamo vedendo che molti prodotti finiti ereditano le vulnerabilità – a volte la progettazione del software è scadente o ci sono errori logici nelle implementazioni, talvolta questi bug vengono identificati e corretti. Ma a volte, come nel caso di Heartbleed, non sono identificati per due anni”.

Più preoccupante è quando “gli sviluppatori agiscono intenzionalmente“, ha detto Jarva. “Alcune persone potrebbero aver fornito una vulnerabilità apposta per fare qualcosa di brutto” una volta che il codice è stato distribuito. E’ raro che gli sviluppatori percorrano a ritroso la storia delle librerie che utilizzano prima di incorporarle nelle applicazioni, ha detto. “Con chi stanno lavorando? Hanno posti di lavoro da qualche altra parte? Gli sviluppatori potrebbero sempre avere soldi extra da network pubblicitari “, ha detto Jarva.

Gli utenti finali che acquistano o commissionano lo sviluppo di applicazioni mobili è improbabile che siano consapevoli del fatto che le applicazioni riutilizzano librerie software che li collegano a reti pubblicitarie per carpire dati personali senza il consenso dell’utente, ha detto. Lo studio preliminare ha rilevato che quasi la metà delle 50 migliori applicazioni Android sul mercato inviano l’Android ID dell’utente a reti pubblicitarie di terze parti.

Una su dieci inviano o l’ID dispositivo dell’utente (codice IMEI) o dati di localizzazione a terzi, e una invia persino il numero di cellulare dell’utente. Un’app su dieci è connessa a più di due reti pubblicitarie. Lo studio ha rilevato che oltre il 30% delle applicazioni trasmette i dati privati ​​in testo normale e molte di più non codificano il trasferimento di tali dati.

“I problemi sono invisibili agli utenti”, ha detto Jarva. “Un sacco di cose che stanno accadendo dietro le quinte diventano note solo dopo che sono state fatte”. Jarva detto che la sicurezza IT dovrebbe essere interesse di qualsiasi applicazione che invia informazioni rilevanti o sensibili a terze parti. Ci sono strumenti di sandboxing disponibili che consentono a un amministratore di eseguire la scansione dei file binari in un file di installazione e “rivelare le vere caratteristiche della app” in meno di un minuto, ha detto.

“Dobbiamo fare attenzione a testare abbastanza bene le librerie che usiamo in modo che possiamo essere sicuri che siano abbastanza sicureda utilizzare,” ha detto. Jarva ha detto che i responsabili IT di solito si rivolgono a persone o gruppi fidati per superare questi problemi, ma stanno lottando per tenere il passo con il volume delle nuove applicazioni che vengono rilasciate ogni giorno. “Ci vuole troppo tempo”, ha detto. “Alla fine della giornata, dobbiamo fare gli sviluppatori e i manager, e capire l’importanza dei test. “La difficoltà che abbiamo è che il fattore motivante per la consegna di una app è raramente la sicurezza. Ulteriori test significa più tempo, quindi più costi per lo sviluppatore e un prezzo più elevato per il prodotto finito. Diventa un problema solo quando succede qualcosa di storto”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti