Ancora una volta Google è costretta a usare le maniere forti, espellendo dal proprio marketplace di applicazioni per il mondo Android prodotti pericolosi o comunque in grado di agire secondo fini più o meno loschi. Non sarebbe quasi una notizia, se non fosse che le applicazioni rimosse dal Play Store sono la metà di mille: 500 software che, come scoperto dalla società di cybersicurezza Lookout, miravano a installare spyware sui dispositivi delle ignare vittime. Non poche, perché i download complessivi ammontano a oltre 100 milioni.
In seguito alla segnalazione di Lookout, Google ha opportunamente scelto di cacciare via dal negozio virtuale le app in questione. Il gruppo include soprattutto applicazioni di videogioco (in particolare una, scaricata 50 milioni di volte), ma anche servizi meteo, applicazioni per l'ascolto di Web radio, per l'editing fotografico, per la scuola, per il monitoraggio della salute, per il fitness, per il controllo delle webcam domestiche e altro ancora.
Non c'è stato dolo da parte degli sviluppatori delle 500 app, colpevoli soltanto di aver utilizzato all'interno delle proprie creazioni un Sdk (software development kit) associato a funzioni di raccolta dati finalizzate all'advertising e alla monetizzazione. Proprio qui, nell'Sdk – opera della società cinese Igexin – risiedeva una vulnerabilità probabilmente inserita ad arte, poiché non presente in tutte le versioni del kit ma soltanto in alcune. All'insaputa degli utenti ma anche degli sviluppatori, le app contenenti il codice malizioso potevano segretamente raccogliere dati dai dispositivi e inviarli ai server di Igexin.
“È probabile che molti sviluppatori fossero all'oscuro della possibilità di estrarre informazioni personali dai dispositivi dei loro clienti, come effetto dell'impiego dell'Sdk di advertising di Igexin”, ha sottolineato Lookout, spiegando poi che solo una attenta analisi del codice o un'osservazione del comportamento dell'app avrebbe potuto generare sospetti. La società di cybersicurezza ha sentito puzza di bruciato nel vedere un insolito flusso di traffico crittografato diretto da un'applicazione verso indirizzi Ip e server già noti a Lookout, poiché legati a malware scoperti in passato.
(immagine tratta dal sito di Igexin)
Quanto a Igexin, l'azienda si spaccia come un fornitore di Sdk e servizi per la raccolta di dati a fini pubblicitari e di marketing. Il software installato dalle 500 applicazioni, però, in molti casi ha valicato i confini delle condizioni d'uso dichiarate dagli sviluppatori di app e accettate dall'utente nel momento dell'installazione. Peccato solo che la rimozione della maggior parte delle app infette non sia sufficiente ad annullare il rischio di essere spiati: non essendo stati svelati i nomi in lista nera, molte di queste applicazioni probabilmente rimarranno installate per un tempo indefinito sui decine di milioni di dispositivi Android.