Numerose applicazioni mobile di dating potrebbero lasciare alla mercé degli hacker informazioni personali come numeri di telefono, indirizzi email, nomi e cognomi, geolocalizzazione e molto altro. Il motivo? Kit di sviluppo fallaci utilizzati inconsapevolmente dai creatori di app per inserire pubblicità nei propri software. L’allarme arriva da Kaspersky Lab, che ha presentato una ricerca sul tema durante la conferenza di cybersecurity Rsa 2018. Gli analisti dell’azienda russa sono giunti alla scoperta analizzando alcune popolari applicazioni di dating online, utilizzate dagli utenti per conoscere e incontrare l’anima gemella e installate su diversi milioni di smartphone. Kaspersky si è accorta di come le informazioni personali venissero trasmesse verso i server pubblicitari su protocollo Http, quindi senza cifratura.
“Milioni di app integrano Sdk terzi capaci di esporre informazioni che possono essere facilmente intercettate e modificate, portando potenzialmente a infezioni malware, ricatti e altri attacchi”, ha sottolineato Roman Unuchek di Kaspersky durante la presentazione del report. Il peccato originale, come spiegato, è da ricercare nei kit di sviluppo pubblicitari liberamente disponibili in commercio e spesso utilizzati dai creatori di applicazioni per risparmiare tempo. Il problema è che molti di questi Sdk sono zeppi di falle e permettono la trasmissione di dati personali verso i server di advertising senza ricorrere alla crittografia.
Secondo Kaspersky sarebbero ben quattro milioni i kit bucati, in parte a causa di errori commesso dagli sviluppatori, ma nella maggior parte dei casi per colpa di diversi bug contenuti negli Sdk di terze parti. L’azienda russa ha sottolineato che il 63 per cento delle app monitorate a gennaio ha ormai effettuato lo switch dal protocollo Http all’Https, ma circa nove software su dieci ricorrono ancora al primo canale per trasmettere informazioni, come nel caso evidenziato dall’indagine dei server pubblicitari.