App iOS e Android perdono dati degli utenti: lo studio

Android è la piattaforma mobile di Google che viene spesso criticata per essere molto vulnerabile agli attacchi hacker, ma una nuova ricerca della società di sicurezza digitale su cloud Zscaler mostra come anche le applicazioni iOS non sono sicure al cento per cento quanto si tratta di mantenere private le informazioni degli utenti.

Il numero crescente di dispositivi mobili, e il vasto mercato delle applicazioni self-service, ha aperto la porta ad una crescente perdita di dati e violazioni di sicurezza, secondo la società di sicurezza Zscaler, che ha dunque voluto testare quanto sono in sicurezza i dati scambiati dalle applicazioni mobili, per iOS e Android, con i server delle società che le gestiscono.

Ogni trimestre, sono oltre 45 milioni gli scambi di dati dai dispositivi mobili che attraversano i server cloud della società di sicurezza Zscaler. La maggior parte delle informazioni scambiate relative alla privacy rientrano in una delle seguenti tre categorie: metadati del dispositivo, posizione, dati personali (PII).

Nel caso di dispositivi Android, sono circa 20 milioni le operazioni che vengono gestite dal cloud di Zscaler, e di queste circa lo 0,3 per cento hanno un certo livello di perdita di dati. Di tutte le perdite, il 58 per cento sono legate alla perdita di metadati del dispositivo, e comprendono le informazioni di identificazione dei dispositivo inviate dall’applicazione come ad esempio il codice IMEI, MAC, numero IMSI, di rete, sistema operativo, dati della carta SIM, produttore ecc. Tali dati possono essere sfruttati per il monitoraggio del dispositivo e la creazione di attacchi mirati. Il 39,3 per cento di tutte le perdite di dati sono legati alla posizione dell’utente, tra cui le esatte coordinate di latitudine e longitudine – questo significa che l’app comunica al server cloud la esatta posizione di dove si trova. Il restante tre per cento delle transazioni provocano perdite di dati PII (Personally identifiable information), inclusi l’indirizzo email ed il numero di telefono dell’utente.

Ripartizione dati privacy rivelati – Android e iOS

Nel caso di dispositivi iOS di Apple, sono circa 26 milioni le operazioni che vengono gestite dal cloud di Zscaler, e di queste circa lo 0,5 per cento hanno un certo livello di perdita di dati. Di tutte le transazioni iOS che fanno trapelare dati relativi alla privacy, il 72,3 per cento delle operazioni sono legate alle informazioni sul dispositivo dell’utente. Un 27,5 per cento delle transazioni riguardao la posizione dell’utente viene, mentre lo 0,2 per cento delle transazioni comporta l’invio di informazioni personali PII. Di tutte le operazioni da dispositivi iOS nelle quali vengono inviate informazioni relative alla privacy, il cinque per cento sono per colpa di infezioni dannose presenti sul dispositivo.

Da notare che, in base alla posizione geografica, circa il 70% del traffico app che viene perso su iOS proviene dalla Cina, mentre su Android, i dati non restano al sicuro in gran parte dagli Stati Uniti e nel Regno Unito.

Dati identificatori come MAC, GSM IMEI, IMSI, e UDID sono globalmente unici e non cambiano nel corso della vita di un dispositivo, la raccolta di tali ID consente quindi il monitoraggio di un dispositivo. Questi identificatori possono essere sfruttati da malintenzionati per una serie di attacchi, anche del tipo DoS che prevedono di far esaurire deliberatamente le risorse di un sistema. La posizione esatta in cui si trova ogni persona è importante in questo periodo di globalizzazione, in cui si puo’ sapere dove si trova qualcuno. Far trapelare i numeri di telefono e gli indirizzi e-mail sono invece il modo più rapido per raggiungere ogni individuo, e possono essere sfruttati per spam e phishing (quelle mail fastidiose che invitano ad aprire allegati o cliccare link che rimandano a siti web da cui si scaricano in automatico virus sul dispositivo).

Uno studio condotto da IBM & The Ponemon Institute mostra che, delle 400 organizzazioni studiate, quasi il 40 per cento non esegue la scansione delle applicazioni che sviluppano per scoprire se sono vulnerabili nella sicurezza. Delle organizzazioni che invece scansionano le loro applicazioni prima di rilasciarle sul mercato, solo il 15 per cento le testano di frequente come dovrebbero. E, ancora più preoccupante, il 50 per cento di coloro che sviluppano applicazioni mobili non prevedono di investire in test per vedere se ci sono vulnerabilità di sicurezza.

Per concludere, queste statistiche dimostrano che una quantità significativa di dati personali possono trapelare dalle informazioni che un’applicazione scambia con i server della società che gestisce quella applicazione, quindi la sicurezza assoluta dei dati che vengono scambiati non esiste, nè su iOS nè su Android.