Sicurezza

Android: oltre un milione di app, nessuna sicura

Il Play Store di Google ha una falla di sicurezza enorme, dimostrata da Jason Nieh e Nicholas Viennot (Columbia University). I ricercatori hanno creato PlayDrone, un software che ha aggirato le misure di sicurezza di Google e analizzato tutte le app presenti sul Play Store – estraendo il codice per 880.000 di esse in pochi giorni.

Già questo sarebbe abbastanza grave, ma ciò che hanno trovato gli scienziati nelle app lo è ancora di più. È infatti emerso che nel codice delle applicazioni si trovano chiavi riservate appartenenti agli sviluppatori. Chiavi con le quali diventa molto facile rubare dati sensibili da una quantità di fonti, compresi colossi come Amazon o Facebook. Anche le app di queste ultime due aziende, insieme a quelle di altre importanti società, presentano lo stesso problema.

Google è già al lavoro per risolvere il problema – in collaborazione con i ricercatori – nel tentativo di rendere il Play Store un luogo più sicuro (vedi anche la libertà di Android ha un prezzo carissimo). "Google sta usando la nostra tecnica", spiega infatti Viennot, "per esaminare le applicazioni in cerca di questi problemi e per prevenire che la cosa si ripeta in futuro".

Parallelamente si stanno prendendo contatti con gli sviluppatori, per dire loro di non lasciare le chiavi riservate all'interno del codice. Una cosa che, stando a R. Chirgwin di The Register, "è l'equivalente di lasciare le chiavi di casa sotto allo zerbino". Una cosa piuttosto stupida da fare, e si resta basiti di fronte a quest'analisi anche perché evidenzia come praticamente tutti gli sviluppatori, grandi e piccoli, fanno parte di questa imbarazzante categoria. Google dovrebbe presto attivare un sistema che avvisa automaticamente lo sviluppatore con un messaggio del tipo "non integrare i tuoi token", quando presenta la propria app.

Jason Nieh e Nicholas Viennot

E ancora una volta si conferma l'ovvio: mai dare per scontati il buon senso o l'uso dell'intelligenza. Se ci si trova nella posizione di Google (o Apple, Facebook, Microsoft), bisogna sempre assumere come predefinito il livello più basso possibile. E bisogna agire, di conseguenza, per arginare anche la più improbabile delle minacce; trovare l'equilibrio con la grande libertà di Android è difficile, ma tentare è obbligatorio.

"Il nostro lavoro", ha infine commentato Nieh, "rende possibile analizzare le app Android su larga scala in nuovi modi, e crediamo che PlayDrone sarà uno strumento utile per comprendere le applicazioni Android e migliorare la qualità del contenuto di Google Play".

Proprio ieri abbiamo pubblicato un articolo che sottolineava come l'approccio alla sicurezza del Play Store lasci a desiderare, e di come sia necessario un irrigidimento delle norme per gli sviluppatori. Il tema era quello dei permessi, e oggi si aggiungono le informazioni sensibili nel codice: non sarà il momento di Google per prendere l'iniziativa su un tema tanto importante?