Mai come in questi tempi Facebook è sotto i riflettori per u a gestione alquanto allegra della privacy e della sicurezza. L’ultimo caso è stato portato alla luce dai colleghi di Android Police e riguarda Free Basics by Facebook, un’app destinata ai mercati emergenti.

La chiave cifrata utilizzata per firmare digitalmente l’app, indispensabile per garantire la sicurezza degli aggiornamenti e delle applicazioni, è infatti stata trafugata e utilizzata per realizzare falsi aggiornamenti con scopi malevoli. In seguito alla segnalazione inviata da Artem Russakovskii, fondatore di AP, Facebook ha rimosso l’applicazione dal Play Store pubblicandone una nuova versione.

Fin qui niente di particolarmente strano, se non fosse per il comportamento molto elusivo di Facebook. Oltre al fatto di aver utilizzato una chiave di debug per firmare l’applicazione, una scelta alquanto discutibile, resta il comportamento poco chiaro con gli utenti.

Nella vecchia versione, firmata con la chiave rubata, è comparso un semplice avviso che invitava gli utenti a installare la nuova applicazione. Sui 5 milioni di utenti che hanno scaricato la prima versione, solo 50.000 circa hanno scaricato la nuova app, lasciando quindi aperte le porte a possibili compromissioni. Inoltre Facebook non ha minimamente accennato a fornire una spiegazione, infischiandosene della sicurezza degli utenti.

Nei Paesi emergenti è molto più facile che gli utenti scarichino applicazioni da fonti alternative al Play Store, attratti magari da un crack o dalla promessa di nuove funzioni. Ecco dunque che scaricando un’applicazione firmata con la chiave rubata è possibile sottrarre i dati agli ignari utenti, convinti di aver regolarmente aggiornato Free Basics.

Facebook fa orecchie da mercante, e afferma di non aver nessuna evidenza di un uso improprio della chiave, affermazione smentita da Android Police che, tramite il servizio APK Mirror ha scovato diverse applicazioni che utilizzavano la chiave di Facebook. Se doveste aver installato in qualche modo Free Basics, vi consigliamo dunque di rimuoverla e installare la nuova versione dal Play Store, a patto di risiedere in uno dei Paesi in cui è disponibile (o a meno di non utilizzare una VPN).