Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

Quando la spia è la tastiera del tuo smartphone: il caso Flash Keyboard

Quando la spia è la tastiera del tuo smartphone: il caso Flash Keyboard Photo by on Unsplash
407 parole - Lo leggerai in 2 minuti

Quanti di noi, possessori di uno smartphone Android non rooted, investono il proprio tempo a leggere e capire le autorizzazioni che un’app ci richiede quando vuole essere installata?

Ho detto, “leggere e capire”.

Di sicuro sono stati in pochi a farsi le domande giuste quando hanno installato Flash Keyboard, una delle tante app con le funzionalità da tastiera. E secondo questo studio della società PenTest, hanno fatto male a non farsele.

Emerge infatti, da questo report inquietante, che Flash Keyboard, che nel Febbraio scorso era all’undicesimo posto tra le applicazioni più scaricate, cinque posizioni prima di Whatsapp per dire, altro non era che un sofisticato spyware.

Oddio, che qualcosa non tornasse, lo si poteva capire dalla miriade di autorizzazioni richieste dall’applicazione.

Autorizzazioni richieste da Flash Keyboard

Ma la complessità è nemica della sicurezza, quindi milioni di persone vedendo un elenco enorme di autorizzazioni hanno pensato bene di portarsi il nemico in casa. Li biasimiamo? No. Quando un sistema è troppo complesso, l’utente medio troverà il modo di usarlo nel peggior modo possibile.

La nostra app richiedeva di accedere a log di sistema, di poter uccidere processi arbitrari, di comunicare con l’esterno, di poter scattare foto e registrare video, di scaricare file senza notifica e molto altro.

Durante l’analisi condotta da PenTest, è emerso come quest’applicazione spedisse tutta una serie di informazioni a server cinesi, più precisamente all’host tdcv3.talkingdata.net. Informazioni come:

  • Device manufacturer
  • Device model number
  • Device IMEI
  • Android version
  • Owners email address
  • Wi-Fi SSID
  • Wi-Fi MAC
  • Mobile Network (e.g. Vodafone)
  • GPS co-ordinates accurate to 1-3 meters
  • Information about nearby Bluetooth devices
  • Details of any proxies used by the device

La conclusione del report di PenTest è che ci troviamo di fronte, in realtà, ad un tentativo maldestro di applicazione che scheda i suoi utenti nel tentativo di monetizzare qualcosa. Decompilando il binario non si ha evidenza che, tutte le cose brutte che avrebbe potuto fare con quelle permission, siano effettivamente state fatte. Anzi, il solo fatto che il codice non sia offuscato, rende meno probabile l’ipotesi di malware avanzato.

L’episodio di Flash Keyboard però ci deve far capire che:

  • sovente installiamo cose a caso
  • diamo troppa libertà alle applicazioni installate sui nostri smartphone
  • non abbiamo ancora compreso a fondo il meccanismo delle autorizzazioni
  • mettiamo a rischio la nostra privacy

Parlano di Flash Keyboard

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list