Check Point Research, dopo avere analizzato 23 applicazioni pubblicate sul Play Store di Google, ha scoperto che 100 milioni di dati personali sono stati esposti per colpa errori umani, quindi degli sviluppatori, durante la configurazione delle infrastruttura base di un’applicazione come ad esempio lo spazio sul cloud, i database, la gestione delle notifiche e molto altro.

I dati personali esposti agli hacker

L’errata configurazione di questi elementi ha messo in pericolo le informazioni più intime e personali di ogni utente: password, messaggi di chat, posizione, foto, documenti, password e molto altro. Studiando la gestione, o meglio l’errata configurazione di database in tempo reale, la divisione Threat Intelligence di Check Point Research è riuscita ad accedere ai dati sensibili immagazzinati su database real-time di 13 applicazioni Android, com’è possibile notare dalle immagini sottostanti. Quasi scontato sottolineare che, se un hacker ottenesse l’accesso a queste informazioni, potrebbe commettere furti d’identità, frodi e molto altro.

“La maggior parte delle app che abbiamo osservato sta ancora esponendo dei dati. La loro raccolta, soprattutto l’utilizzo da parte degli hacker, è preoccupante. In definitiva, le vittime diventano vulnerabili a molti vettori di attacco diversi, come le impersonificazioni, il furto di identità, il phishing e i service-swipe, sottolinea Aviran Hazum, Manager of Mobile Research di Check Point. Check Point Research fornisce tre esempi di applicazioni trovate sul Play Store che erano vulnerabili per via di una scorretta configurazione dei database real-time:

  • Astro Guru: applicazione di astrologia scaricata più di 10 milioni di volte. Sono stati estratti dati relativi al nome, data di nascita, sesso, posizione, dettagli sulla email e sui sistemi di pagamento;
  • T’Leva: applicazione per taxi scaricata più di 50 mila volta. Sono state estratte le conversazioni in chat tra l’autista del taxi e i passeggeri, compresi i nomi, i numeri di telefono e posizione;
  • Logo Maker: applicazione gratuita per la creazione di loghi scaricata più di 10 milioni di volte. Sono stati estratti dettagli sulle email, password, username e userID.