Le app di monitoraggio Covid-19 non sono poi così sicure
Le applicazioni Android, lanciate per i cittadini dei paesi più colpiti dalla pandemia come Iran, Colombia, ma anche la stessa Italia hanno avuto la sfortunata conseguenza di diventare possibili vettori inconsapevoli di cyber attacchi
Le applicazioni Android, lanciate per i cittadini dei Paesi più colpiti dalla pandemia come Iran, Colombia, ma anche la stessa Italia hanno avuto la sfortunata conseguenza di diventare possibili vettori inconsapevoli di cyber attacchi. Con la diffusione del virus, infatti, abbiamo visto il fiorire di un'ondata di applicazioni per cellulari Android a tema Covid-19 che hanno lo scopo di aiutare i cittadini a rintracciare i sintomi e tenere traccia delle infezioni da virus. Tuttavia, in alcuni casi, queste app hanno anche messo a rischio privacy e sicurezza dei cittadini.
Da una recente analisi, infatti, sono emerse varie preoccupazioni su queste tematiche, tra cui una backdoor in varie applicazioni. Secondo un post pubblicato recentemente da un gruppo di ricercatori, le app ricadono in due categorie: o sono state create e approvate dai paesi o studiate come un'invenzione una tantum dai criminal hacker per sfruttare l'attuale pandemia. I ricercatori hanno analizzato decine di app a tema Covid-19 che continuano ad emergere con la diffusione del coronavirus, aprendo la strada alle relative minacce alla sicurezza in tutto il mondo. Nell'analisi, hanno evidenziato tre che rappresentano una particolare minaccia per i cittadini, citando non solo la potenziale attività cybercriminale che potrebbe scaturire da queste, ma anche semplici errori degli sviluppatori.
Il caso iraniano
All'inizio di marzo in Iran, uno dei primi posti in cui Covid-19 è emerso come una seria minaccia per la salute, il governo ha rilasciato un'app ufficiale, disponibile su un app store iraniano conosciuto come CafeBazaar. L'app aveva lo scopo principale di rintracciare i cittadini, e ha suscitato non poche preoccupazioni sulla privacy perché, piuttosto che fornire informazioni vitali per la salute, sembrava avere l'unico scopo di raccogliere informazioni personali degli utenti. Se l'app in sé non era abbastanza preoccupante, i criminal hacker hanno anche creato un'app clone, chiamata CoronaApp, disponibile online per il download diretto da parte dei cittadini iraniani piuttosto che tramite il Google Play Store, e quindi non soggetta al normale processo di verifica che potrebbe proteggerli da intenzioni nefaste. Questo faceva leva anche sulla situazione politica del Paese, considerando che molti cittadini iraniani non possono accedere allo store ufficiale di Google Play, e sono quindi più propensi a scaricare app da altre fonti. Anche se CoronaApp non mostra ovviamente intenzioni malvagie, richiede il permesso di accedere alla posizione di un utente, alla fotocamera, ai dati di internet e alle informazioni di sistema, e di scrivere su uno storage esterno. Si tratta di una particolare raccolta di permessi che dimostra il probabile intento dello sviluppatore di accedere alle informazioni sensibili dell'utente. Inoltre, i creatori sostengono che l'app è stata costruita con il supporto del governo iraniano, anche se nulla conferma questa affermazione.
Buone intenzioni, pessima realizzazione
In Colombia, un altro Paese che ha imposto restrizioni ai cittadini durante la pandemia, il mese scorso il governo ha pubblicato su Google Play un'app per cellulari chiamata CoronApp-Colombia per aiutare le persone a monitorare i potenziali sintomi di Covid-19. Tuttavia, l'app includeva anche delle vulnerabilità nelle modalità di comunicazione via HTTP, che influiscono sulla privacy di oltre 100.000 utenti. Dal momento che effettua chiamate al server non sicure per trasmettere i dati personali degli utenti, CoronApp-Columbia potrebbe mettere a rischio la salute degli utenti e le informazioni personali sensibili a rischio di essere compromesse.
La situazione in Italia
Nel nostro Paese, il Governo ha creato applicazioni specifiche per ogni regione per il monitoraggio dei sintomi del coronavirus. Questa frammentazione ha però permesso ai criminal hacker di approfittare dell'incoerenza dei rilasci e della disponibilità delle app per lanciare copie maligne che contengono vaire backdoor.
Naturalmente, un numero maggiore di applicazioni approvate dal governo fa sì che gli utenti siano meno sicuri di quali applicazioni mobile a tema Covid-19 siano legittime.
I criminal hacker, hanno approfittato di questa confusione, e hanno rilasciato applicazioni clone dannose per attaccare gli utenti che possono aver erroneamente scaricato l'app sbagliata. In tutto i ricercatori hanno trovato 12 pacchetti di applicazioni Android che facevano capo alla stessa campagna di Criminal Hacking. Tutti, tranne uno, hanno usato vari metodi di offuscamento per non farsi scoprire. Il sospetto era stato subito confermato dando uno sguardo al certificato di firma digitale della prima applicazione dannosa che hanno analizzato. Questo perché, anche se il servizio era a beneficio dei cittadini italiani, il firmatario della app era "Raven" con una posizione a Baltimora, probabilmente un riferimento alla squadra di Football americano Baltimore Ravens. La backdoor si attiva quando l'app Android riceve un segnale BOOT_COMPLETED, quando il telefono si avvia, o quando l'app viene aperta.
Il consiglio, per evitare una vera e propria diffusione a macchia d'olio di queste problematiche di sicurezza è di insistere sull'unicità e tenuta delle app rilasciate. Non deve essere neppure sottovalutata la due diligence durante il processo di sviluppo per garantire la sicurezza di qualsiasi applicazione mobile sponsorizzata dal governo ed evitare di mettere i cittadini a ulteriore rischio.