Gli smartphone che ci accompagnano nella vita di tutti i giorni sono strumenti potentissimi ma da usare con attenzione, senza mai sottovalutare rischi legati alla sicurezza e alla privacy come quelli oggetto di questo articolo. Questa premessa, infatti, vale come fil rouge per tutte le notizie di seguito trattate, dal malware spacciato per portafogli per criptovalute e usato per derubare utenti Android e iOS, all’app rimossa dal Google Play Store perché considerata poco sicura, fino al modo non proprio trasparente — ma normale secondo Google — in cui alcune app per Android trattano i dati degli utenti.

Non portafogli per criptovalute, ma malware per derubarvi

Negli ultimi tempi le criptovalute sono entrate nei discorsi anche degli utenti poco (o per nulla) esperti, incuriositi dai tanti esempi di persone — non esattamente sprovvedute — che vi si sono arricchite.

Quest’esplosione di popolarità ha investito sì big come Bitcoin ed Ethereum, ma ha fatto emergere anche tantissimi token e ha offerto agli scammer una platea molto più vasta di potenziali vittime da prendere di mira. I ricercatori di sicurezza di Eset hanno scoperto un complesso schema che coinvolge sia gli utenti Android che quelli iOS e che passa attraverso applicazioni spacciate per ben noti portafogli (wallet) per criptovalute, ma in realtà costituenti malware usati per appropriarsi dei token dei malcapitati.

La ricerca è stata illustrata nei dettagli in un post sul blog We Live Security e, in breve, evidenzia la facilità con la quale simili loschi progetti possono essere portati a compimento. Eset dice che, a partire dal 2021, ha scoperto dozzine di app per iOS e Android spacciate per wallet veri ed esistenti (come Coinbase e Metamask), ma in realtà cariche di malware e riconducibili a siti web tutt’altro che affidabili; tali app venivano usate per carpire i seed phrases degli utenti e guadagnare accesso ai portafogli veri delle vittime.

Eset parla di un lavoro svolto accuratamente, per conferire alle app-malware un aspetto e addirittura un apparente funzionamento il più possibile autentici e affidabili. I truffatori si erano spinti fino ad inserire annunci pubblicitari su siti fidati, arrivando ad allargare la schiera delle vittime sfruttando intermediari trovati tramite Telegram e Facebook. A raddoppiare la minaccia, Eset ha anche scoperto una carenza di sicurezza sui server dei cyberattacker: il malware inviava seed phrases alle vittime tramite una connessione non sicura, che avrebbe consentito anche ad altri malitenzionati di rubare tali informazioni.

Secondo i ricercatori, pare che le app abbiano preso di mira soprattutto utenti cinesi, tuttavia solo nel Play Store ne hanno scovate molte varianti. Il codice usato per gli attacchi è trapelato ed è stato condiviso, pertanto rappresenta ancora una minaccia. Insomma, se dovete scaricare un wallet, assicuratevi di farlo dall’App Store se avete un dispositivo iOS e di avere Google Play Protect in funzione su Android.

Popolare speed test sparito dal Google Play Store

A proposito di Google Play Store, è delle scorse ore la notizia della rimozione di un’app, un popolare speed test, in quanto ritenuta un rischio per la sicurezza degli utenti.

L’app in questione è Speedcheck Pro, una delle più popolari nella categoria, con oltre 10 milioni di installazioni, oltre mezzo milione di recensioni e un rating di 4,6/5.

Gli utenti che l’avevano installata si sono trovati una notifica del Google Play Store che li avvertiva della disattivazione dell’app in quanto la stessa metteva a rischio la sicurezza del dispositivo. In aggiunta a questo, Google Play Protect parla di app “fake”, che cercherebbe di prendere il controllo del dispositivo o rubare i dati dell’utente.

Naturalmente, in questo momento l’app non risulta più reperibile sul Play Store, ma una spiegazione sull’accaduto, vista la diffusione dell’app, sembra quanto mai doverosa.

Messaggi e Telefono inviano dati a Google all’insaputa dell’utente

Non è la prima volta che ci ritroviamo a parlare di dati degli utenti Android fagocitati da Google all’insaputa degli stessi come se fosse una pratica normale, ma pare che per Big G lo sia. Le app in questione sono di uso comune e anche molto apprezzate, si tratta di Google Messaggi e Google Telefono.

Stando ad una ricerca dal titolo “What Data Do The Google Dialer and Messages Apps On Android Send to Google?” condotta da Douglas Leith, professore di computer science presso il Trinity College di Dublino, tali app inviano dati sulle conversazioni degli utenti ai servizi Google Play Services Clearcut logger e Firebase Analytics di Google.

Nella ricerca si legge che Messaggi invia dati comprensivi di un hash del messaggio — l’app prende contenuto del messaggio e timestamp, genera un SHA256 hash e poi ne trasmette una porzione (un valore di 128-bit) —, che permette di risalire a mittente e destinatario; Telefono comunica a Google dati come orario e durata delle chiamate, nonché i numeri di telefono. Le stesse app comunicano a Big G anche orario e durata di altre interazioni con le stesse e per gli utenti non esiste possibilità di opt-out da questa raccolta di dati.

Entrambe le app sono estremamente diffuse, arrivano preinstallate su tantissimi dispositivi e, in tali versioni, mancano persino delle specifiche privacy policy che chiariscano e motivino la raccolta dei dati degli utenti, cosa che invece Google richiede espressamente agli sviluppatori terzi. In entrambi i casi si rimanda alle generiche Norme sulla privacy di Google, che però non sono specifiche per le due app.

Google Play Services dichiara che alcuni dati degli utenti vengono raccolti per sicurezza e prevenzione di frodi, oltre che per scopi di manutenzione di API e servizi e per fornire servizi di Google come sincronizzazione dei contatti e segnalibri; tuttavia non fa chiarezza su Messaggi e Telefono.

La ricerca di Leith comprende anche nove consigli e sei cambiamenti necessari da parte di Google e, per tutti i dettagli, la trovate a questo link.

In questa sede c’è da riportare la posizione ufficiale di Google, che ha confermato la correttezza di quanto evidenziato nella ricerca. Quest’ultima solleva anche l’interrogativo sulla compatibilità di tali comportamenti col GDPR e su questo punto specifico Google non ha fornito risposta, né è chiaro se l’impegno promesso rappresenti una rassicurazione sufficiente. Google ha fatto sapere a Leith che introdurrà un meccanismo di opt-out in Messaggi, che però non coprirà i dati considerati essenziali, che dunque verranno ugualmente raccolti.

Per Leith, ci sono due grandi problemi con Google Play Services (dunque con la maggior parte dei dispositivi Android fuori dalla Cina): il primo è che i dati di log raccolti non sono anonimi, in quanto ricollegati al Google Android ID, dunque alla vera identità dell’utente; il secondo è che sappiamo ben poco di quali dati vengano inviati a Google Play Services e di come vengano usati. Il suo studio, insomma, non sarebbe che la punta dell’iceberg.

La posizione di Google

Chiudiamo con la posizione di Google, che attraverso un rappresentante ha fatto sapere di raccogliere dati essenziali per diagnosi e risoluzione di problemi delle app; tali technical log non vengono usati per scopi pubblicitari e, nel caso di Messaggi, numeri di telefono e hashed SMS venivano usati solo per risolvere problemi legati al servizio.

Ecco la dichiarazione ufficiale completa:

«We’re committed to compliance with Europe’s privacy laws and apply strict privacy protections to data collected via our Dialer and Messages apps.

Both Dialer and Messages use limited amounts of data for highly specific purposes that allow us to diagnose and resolve product functionality issues and ensure message delivery is consistently reliable.

These technical logs are not – and were never – used for targeting ads and were protected by strict internal access controls. Phone numbers and hashed SMS related data within Messages were only used in technical logs to debug app service issues. Phone numbers that were not saved in a user’s contact list are only used by Dialer to guard users against unwanted spam calls».

Leggi anche: No, queste email non provengono da Google, cancellatele subito