Quando la spia è la tastiera del tuo smartphone: il caso Flash Keyboard
Photo by on Unsplash
Quanti di noi, possessori di uno smartphone Android non rooted, investono il proprio tempo a leggere e capire le autorizzazioni che un’app ci richiede quando vuole essere installata?
Ho detto, “leggere e capire”.
Di sicuro sono stati in pochi a farsi le domande giuste quando hanno installato Flash Keyboard, una delle tante app con le funzionalità da tastiera. E secondo questo studio della società PenTest, hanno fatto male a non farsele.
Emerge infatti, da questo report inquietante, che Flash Keyboard, che nel Febbraio scorso era all’undicesimo posto tra le applicazioni più scaricate, cinque posizioni prima di Whatsapp per dire, altro non era che un sofisticato spyware.
Oddio, che qualcosa non tornasse, lo si poteva capire dalla miriade di autorizzazioni richieste dall’applicazione.
Ma la complessità è nemica della sicurezza, quindi milioni di persone vedendo un elenco enorme di autorizzazioni hanno pensato bene di portarsi il nemico in casa. Li biasimiamo? No. Quando un sistema è troppo complesso, l’utente medio troverà il modo di usarlo nel peggior modo possibile.
La nostra app richiedeva di accedere a log di sistema, di poter uccidere processi arbitrari, di comunicare con l’esterno, di poter scattare foto e registrare video, di scaricare file senza notifica e molto altro.
Durante l’analisi condotta da PenTest, è emerso come quest’applicazione spedisse tutta una serie di informazioni a server cinesi, più precisamente all’host tdcv3.talkingdata.net. Informazioni come:
- Device manufacturer
- Device model number
- Device IMEI
- Android version
- Owners email address
- Wi-Fi SSID
- Wi-Fi MAC
- Mobile Network (e.g. Vodafone)
- GPS co-ordinates accurate to 1-3 meters
- Information about nearby Bluetooth devices
- Details of any proxies used by the device
La conclusione del report di PenTest è che ci troviamo di fronte, in realtà, ad un tentativo maldestro di applicazione che scheda i suoi utenti nel tentativo di monetizzare qualcosa. Decompilando il binario non si ha evidenza che, tutte le cose brutte che avrebbe potuto fare con quelle permission, siano effettivamente state fatte. Anzi, il solo fatto che il codice non sia offuscato, rende meno probabile l’ipotesi di malware avanzato.
L’episodio di Flash Keyboard però ci deve far capire che:
- sovente installiamo cose a caso
- diamo troppa libertà alle applicazioni installate sui nostri smartphone
- non abbiamo ancora compreso a fondo il meccanismo delle autorizzazioni
- mettiamo a rischio la nostra privacy
Parlano di Flash Keyboard
Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.
Supporta il progettoSimili a "Quando la spia è la tastiera del tuo smartphone: il caso Flash Keyboard"
Se questo post ti è piaciuto, sono abbastanza sicuro che troverai questi contenuti altrettanto interessanti. Buona lettura.
Episodio 32: Quando l'EDR fa crock
Introduzione
Ciao caro lettore. Ero come al solito in ritardo nella creazione di questo numero della newsletter di cybersecurity più aperiodica dell’universo, quando Internet si è rotta ancora.
Continua la lettura
GCC, analisi statica e warning mancanti
Eh già… in questi mesi ho dato anima e corpo al canale YouTube ed ho trascurato un po’ il mio blog. Questa però è una delle cose che voglio prima raccontare qui, nella mia versione digitale di un Bullet Journal.
Continua la lettura
Caro diario eccoci qui…
O mamma, è da maggio che non scrivo neanche un post. Vi starete chiedendo se il blog sia ancora attivo… ecco, sì e no.
Continua la lettura
Non perdere neanche un post, iscriviti ora alla mailing list