Applicazioni per smartphone che spiano, eseguono operazioni segrete all’insaputa dell’utente o altre azioni da backdoor: non sono una rarità, anzi. Nel mondo Android la loro presenza è sostanziale, se si guardano i dati di uno studio condotto da un team internazionale di ricercatori dell’Ohio State University, della New York University e del CISPA Helmholtz Center for Information Security.
Su un totale di 150mila applicazioni Android analizzate, di cui 100mila tratte da Google Play, 20mila da marketplace terzi e 30mila preinstallate sui dispositivi Samsung, circa 12.706 contenevano componenti “simil-backdoor”, come chiavi di accesso segrete, master password e comandi segreti.
Meccanismi che potenzialmente permettono agli autori di attacchi di ottenere accesso all’account dell’utente che abbia installato l’applicazione sul proprio smartphone o tablet. E non è tutto: a detta dei ricercatori, se un attacco ottiene accesso fisico al dispositivo, i comandi segreti contenuti nell’app consentono al malintenzionato di eseguire codice da remoto in qualità di utente con elevati privilegi.
Per passare al setaccio dell’analisi le 150mila applicazioni i ricercatori hanno con uno strumento software sviluppato appositamente e chiamato InputScope. Oltre all 12.706 contenenti backdoor, sono state individuate anche 4.028 applicazioni in cui compaiono insulti, discriminazioni razziali, nomi di personaggi politici e proteste di massa. Ne è emersa complessivamente, si legge nello studio, “una situazione preoccupante”, in cui si mescolano applicazioni realmente dannose per la privacy dell’utente e altre contenenti violazioni meno gravi (magari inserite per errore o come Easter eggs).
Significativamente, alcune delle app più problematiche risultano piuttosto popolari. Un’applicazione per il controllo remoto del telefono che conta oltre 10 milioni di installazioni permette a chi realizza l’attacco di sbloccare il dispositivo anche quando il suo legittimo proprietario lo ha bloccato. Un’app per il blocco dello schermo scaricata cinque milioni di volte, invece, permette al malintenzionato di resettare le password impostate dall’utente, così da poter bloccare e sbloccare il telefono a suo piacimento.
Conta circa cinque milioni di installazione anche un’app per lo streaming di dirette video in cui è contenuta una chiave di accesso segreta, attraverso la quale l’autore di un attacco può riconfigurare e modificare l’applicazione stessa. In un’applicazione per la traduzione dei testi, installata circa un milione di volte, è invece contenuta una chiave segreta con cui si può attivare la versione premium dell’applicazione e abilitarne il pagamento.