Milioni di dati non al sicuro per l’utilizzo di SDK di terze parti

In base all’analisi di Kaspersky Lab, milioni di app trasmetterebbero dati non crittografati attraverso HTTP, mettendo a rischio la sicurezza degli utenti. Utilizzando SDK ready-to-go di terze parti di network pubblicitari i dati potrebbero essere intercettati, modificati e utilizzati in ulteriori attacchi.

Pubblicato il 24 Apr 2018

data-protection

Milioni di applicazioni potrebbero rivelare i dati degli utenti tramite SDK ADV di terze parti. Infatti, dalla ricerca di Kaspersky Lab (qui tutto sulle sue strategie di canale), alcune app trasmettono dati crittografati su un protocollo HTTP non sicuro, mettendo a rischio l’esposizione di questi. Questo avviene perché alcuni sviluppatori di app utilizzano SDK (Software Development Kit) pubblicitari di terze parti per risparmiare tempo e denaro. L’SDK, spesso distribuito in modo gratuito, consente agli sviluppatori di avere un ritorno economico, poiché mostra agli utenti gli annunci per loro più rilevanti. I kit inviano i dati degli utenti a domini di noti network pubblicitari per una visualizzazione più mirata degli annunci.

Il problema, però, nasce dal fatto che questi dati vengono inviati non crittografati su HTTP e quindi non sono protetti quando viaggiano verso i server. Ciò significa che potrebbero essere intercettati da chiunque, persino modificati. Di conseguenza, c’è il rischio che le applicazioni non mostreranno più annunci legittimi e pertinenti, ma applicazioni promozionali o malware.

I ricercatori di Kaspersky Lab hanno esaminato i log e il traffico di rete per scoprire quali tra queste trasmettono i dati degli utenti tramite protocollo HTTP, scoprendo così che molti appartengono a noti network pubblicitari. La maggior parte delle applicazioni trasmette almeno uno dei seguenti tipi di dato:

  1. Informazioni personali, principalmente nome dell’utente, età e sesso, ma persino informazioni economiche, come il reddito dell’utente.
  2. Informazioni di rete (MCC, MNC)
  3. Informazioni sul dispositivo, come produttore, modello, risoluzione dello schermo, versione del sistema e nome dell’app.
  4. Localizzazione del dispositivo.

 Come proteggersi?

  1. Verificare le autorizzazioni dell’app e non concedere l’accesso se non si è sicuri. La maggior parte delle app non ha bisogno di accedere alla geo localizzazione personale.
  2. Utilizzare una VPN (Virtual Private Network) in modo da crittografare il traffico di rete tra il dispositivo e il server VPN stesso. In questo modo, il traffico in uscita dalla rete privata rimarrà non criptato, ma diminuirà il rischio di perdite dati.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3