SDK, il punto debole della sicurezza | Digital4Trade
Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Milioni di dati non al sicuro per l’utilizzo di SDK di terze parti

di Redazione

24 Apr 2018

In base all’analisi di Kaspersky Lab, milioni di app trasmetterebbero dati non crittografati attraverso HTTP, mettendo a rischio la sicurezza degli utenti. Utilizzando SDK ready-to-go di terze parti di network pubblicitari i dati potrebbero essere intercettati, modificati e utilizzati in ulteriori attacchi.

Milioni di applicazioni potrebbero rivelare i dati degli utenti tramite SDK ADV di terze parti. Infatti, dalla ricerca di Kaspersky Lab (qui tutto sulle sue strategie di canale), alcune app trasmettono dati crittografati su un protocollo HTTP non sicuro, mettendo a rischio l’esposizione di questi. Questo avviene perché alcuni sviluppatori di app utilizzano SDK (Software Development Kit) pubblicitari di terze parti per risparmiare tempo e denaro. L’SDK, spesso distribuito in modo gratuito, consente agli sviluppatori di avere un ritorno economico, poiché mostra agli utenti gli annunci per loro più rilevanti. I kit inviano i dati degli utenti a domini di noti network pubblicitari per una visualizzazione più mirata degli annunci.

Il problema, però, nasce dal fatto che questi dati vengono inviati non crittografati su HTTP e quindi non sono protetti quando viaggiano verso i server. Ciò significa che potrebbero essere intercettati da chiunque, persino modificati. Di conseguenza, c’è il rischio che le applicazioni non mostreranno più annunci legittimi e pertinenti, ma applicazioni promozionali o malware.

 

I ricercatori di Kaspersky Lab hanno esaminato i log e il traffico di rete per scoprire quali tra queste trasmettono i dati degli utenti tramite protocollo HTTP, scoprendo così che molti appartengono a noti network pubblicitari. La maggior parte delle applicazioni trasmette almeno uno dei seguenti tipi di dato:

  1. Informazioni personali, principalmente nome dell’utente, età e sesso, ma persino informazioni economiche, come il reddito dell’utente.
  2. Informazioni di rete (MCC, MNC)
  3. Informazioni sul dispositivo, come produttore, modello, risoluzione dello schermo, versione del sistema e nome dell’app.
  4. Localizzazione del dispositivo.

 Come proteggersi?

  1. Verificare le autorizzazioni dell’app e non concedere l’accesso se non si è sicuri. La maggior parte delle app non ha bisogno di accedere alla geo localizzazione personale.
  2. Utilizzare una VPN (Virtual Private Network) in modo da crittografare il traffico di rete tra il dispositivo e il server VPN stesso. In questo modo, il traffico in uscita dalla rete privata rimarrà non criptato, ma diminuirà il rischio di perdite dati.

  • arrow_upward
  • arrow_downward
  • share
    29 Share