Entrando nel dettaglio, i ricercatori di IBM Security hanno scoperto che 26 delle 41 app di incontri analizzate sulla piattaforma mobile Android avevano vulnerabilità di media o elevata gravità. L'analisi è stata eseguita sulla base delle app disponibili su Google Play nell'ottobre 2014.
Di seguito le criticità per la sicurezza evidenziate dall'analisi:
- Malware - Un malintenzionato può sfruttare una vulnerabilità per far leva sulla confidenza che gli utilizzatori hanno con il proprio dispositivo: per esempio, spedendo un un messaggio con link per aggiornamento o altro e, invece, si scarica un malware.
- GPS - IBM ha rilevato che il 73% delle 41 più comuni app di incontri ha accesso a informazioni di localizzazione GPS passate e presenti. Gli hacker possono acquisire tali informazioni per scoprire dove l'utente vive, lavora o trascorre la maggior parte del tempo.
L'uso di app personali mette a rischio anche l'impresa
- Carta di credito - Il 48% delle app di incontri analizzate ha accesso a informazioni di pagamento dell'utente, salvate sul dispositivo. Sfruttando una vulnerabilità dell'app di incontri, un hacker potrebbe riuscire ad accedere alle informazioni di pagamento salvate sul mobile wallet del dispositivo e sottrarre le informazioni per effettuare acquisti non autorizzati.
- Fotocamera e microfono – Anche quando non si è collegati all'app, una sua vulnerabilità può consentire di controllare da remoto fotocamera o del microfono di un telefono, rendendo possibile intercettare conversazioni private o d'affari riservate.
- Hijacking - Le vulnerabilità potrebbero consentire di controllare il profilo dell'utente, modificandone i contenuti o spacciandosi per lui, magari per danneggiarne la reputazione, oppure per sfruttarla e convincere altri utenti a condividere informazioni.
Le vulnerabilità specifiche sulle app di incontri
Le vulnerabilità specifiche identificate sulle app di incontri comprendono:
- mancanza di validazione dell'input (consentendo attacchi tipo cross-site scripting);
- mancanza di encryption (consentendo attacchi tipo Man In The Middle);
- flag di debug abilitato (rivelando informazioni potenzialmente confidenziali);
- utilizzo di generatore di numeri casuali deboli (compromettendo la sicurezza dei dati cifrati).
Una volta sfruttate queste vulnerabilità, un hacker malintenzionato può utilizzare il dispositivo mobile per sferrare altri attacchi. Per esempio, potrebbe intercettare i cookie provenienti dall'app attraverso una connessione Wi-Fi falsa (rougue access point) e poi sfruttare altre funzionalità del dispositivo, quali fotocamera, GPS e microfono, a cui l'app ha il permesso di accedere.
Potrebbe creare inoltre una falsa schermata di login, tramite l'app di incontri, per acquisire le credenziali dell'utente. In questo modo, quando l'utente tenta di accedere a un sito web, le informazioni vengono condivise anche con l'hacker.