Le applicazioni per BlackBerry 10 non sono poi così sicure come si crede

Nell’ambito della Mobile Security l’aspetto software è forse il meno considerato. Ci sono molti elementi che uniscono i consumatori BlackBerry, e una di queste è da sempre l’importanza della sicurezza. Alcuni dimenticano che essere protetti, significa di più della semplice garanzia che un’applicazione sia libera da virus. Le applicazioni Nefarious possono accedere ai dati privati, estrapolarli furtivamente verso siti privati, e addirittura monitorare il traffico del proprio device, per tenere sotto controllo ciò che si fa, senza che l’utente ne sia al corrente.

Le applicazioni veramente pericolose, posso anche andare oltre, permettendo ad uno sviluppatore, di eseguire un codice in modalità remota sul dispositivo del consumatore, senza il suo permesso. Immaginate, applicazioni che hanno la capacità di decidere ciò che si può e ciò che non si può fare, cercare su Internet informazioni, senza che lo si sappia o eseguire azioni sul telefono senza che voi lo sappiate. Non solo questi problemi di sicurezza sono molto reali, ma vanno osservati da tutte le principali piattaforme durante i cicli di test e validazione. Nessun principale produttore, ad oggi, sta monitorando le domande presentate per la loro piattaforma, circa il flusso di dati che vengono inviati e ricevuti. Anche se, per dare loro credito, BlackBerry ha fatto un lavoro fantastico per limitare quello che le applicazioni possono fare in background.

In un recente rapporto pubblicato su File Archive Haven sono state testate 12 applicazioni nel tentativo di scavare più a fondo nella loro sicurezza. Alcune ne sono uscite illese mentre altre sembrano necessitare di un profondo restyling dal punto di vista della sicurezza. Le applicazioni sotto esame sono tra le più popolari ed usate dalla stragrande maggioranza degli utenti BlackBerry 10.

L’intento di questo articolo, è di condividere un’analisi sulla sicurezza di 12 applicazioni sui dispositivi BlackBerry 10, attraverso il monitoraggio del loro traffico internet e de-compilare i loro files .bar quando necessario. Da notare come alcune applicazioni provenienti da determinati sviluppatori risultino maggiormente rischiose rispetto ad altre.

Ci sono miriadi di ragioni per cui uno sviluppatore potrebbe voler raccogliete dati. Potrebbero voler sapere come, molte tastiere di telefoni, possano avere problemi di crash, oppure potrebbero aver bisogno di provare ai loro consumatori, che davvero esistono per le agenzie di pubblicità. Alla fine della giornata, tocca allo sviluppatore, condividere la loro politica sulla privacy con voi, e assicurarvi di rivelare per che cosa utilizzano l’informazione. Se raccolgono o cedono dati che vi identificano in maniera individuale, dovete esserne a conoscenza e dovete essere d’accordo con ciò. Gli utenti non dovrebbero mai aver paura di chiedere allo sviluppatore, che cosa stanno raccogliendo e per che cosa stanno utilizzando l’informazione, ma nello stesso tempo, è sempre meglio presupporre che stanno raccogliendo i dati per una ragione legittima.

Le 12 applicazioni, in ordine di rischio dal più alto al più basso, sono:

Snap2Chat (non più disponibile) rischio: compromessa
- Riassunto: questa è un’applicazione ad lato rischio con potenziali script di esecuzione remota incorporati per le richieste degli sviluppatori online. Durante il test si è evidenziato come utilizzi fino a 300 volte la larghezza di banda rispetto all’app ufficiale Snapchat. Si è connesso ad una dozzina di siti web in aggiunta a quello di Snapchat, e ha richiesto un totale di 10 autorizzazioni. L’applicazione ha proposto centinaia di richieste di pubblicità nascoste alla Smaato, ma non le ha mostrate all’utente. Ancora più importante, sta sottoponendo i dati dell’utente tra cui nome, sesso, età ecc, in formato testo su internet, verso un sito nascosto della Nemory Studios.
- Autorizzazioni richieste: camera, BBM (invito + accesso al profilo), files condivisi, User PIN+ info device, Luogo, microfono, screen capture, il background del processing e contatti.
- Condivisione dati: dati sottoposti al http://data.flurry.com sull’avvio, chiusura, minimizzazione e schermo intero dell’applicazione. L’app in seguito rimanda i dati degli utenti attraverso il sito http://api.parse.com anche per gli analisti. Questa invia e memorizza info una terza volta, agli analisti Google Analytic, questa volta. E finalmente poi invia i dati degli utenti privati in testo normale su un regolare http fino ad un sito web http://kellyescape.com. L’applicazione interroga Kelly escape molte volte ed i dati di testo normale e ciò significa che le vostre informazioni personali, sono completamente visualizzabili da chiunque sulla stessa rete, come voi e chiunque tra http://kellyescape.com e voi. Controllando il file .bar stesso, si può vedere che ha decine di collegamenti in questo sito, nascosti e presenta ogni cosa, dal vostro profilo esteso alle informazioni del vostro login. Lo sviluppatore principale di questa applicazione ha liberamente ammesso di usare lo script di Esecuzione Remota (anche se ha poi negato sia la raccolta di informazioni sugli utenti, sia l’esecuzione di script di esecuzione remota).
- Note aggiuntive: snapchat ha presentato una richiesta di rimozione dallo store allo sviluppatore per la ricarica, per il servizio e per l’uso del loro nome e logo. Snapchat era stato avvertito che sarebbero stati chiusi gli account degli utenti che accedono al loro sito attraverso questa app e Snap2Chat stessa non è più disponibile su BlackBerry World. Lo sviluppatore ha informato gli utenti che questo è il rischio che corrono con questa applicazione. E indipendentemente dalla comunicazione ingannevole sul sito degli sviluppatori, in realtà basta semplicemente compilare un modulo per ottenere un rimborso, lo stesso che per ogni applicazione BlackBerry 10.
- Termini di servizio: questa applicazione non è autorizzata da Snapchat e viola i termini di servizio su BlackBerry, Smaato, e snapchat. Così come le leggi sulla privacy in molti paesi per la raccolta dati senza avvisare gli utenti.
Snap10 rischio: compromessa
- Riassunto: questa app ha un rischio identico a quello di Snap2Chat
Inst10 (disponibile solo attraverso la Beta Zone) rischio: alto
- Riassunto: a causa della natura sconosciuta dell’accesso al server cloud di Amazon AWS trovati durante l’utilizzo di Inst10, le serie delle richieste nascoste di Smaato che ha fatto e il fatto che ha bypassato importanti collegamenti per il sostegno ufficiale alle API di Instagram, è probabile che gli account possano essere vietati all’uso di questa applicazione per connettersi a Instagram. Inoltre, poiché i servizi web sono stati creati su http://kellyescape.com, questa viene elevata ad alto rischio in quanto è probabile che seguirà la stessa struttura di Snap10 per la raccolta di dati personale su canali di dati non crittografati.
- Autorizzazioni richieste: BBM (invito + accesso al profilo), files condivisi, User PIN+ info sul device, collocazione, microfono, screen capture, notifiche, contatti.
- Condivisione dati: le statistiche di utilizzo sono state sottoposte a http://data.flurry.com sull’avvio, la chiusura, minimizzazione e lo schermo intero. Ha inviato i dati crittografati a http://translate.google.com e ha raccolto e scaricato i files JS, CSS e quelli HTML per uso locale (motivo sconosciuto-ma ciò rappresenta un rischio per la sicurezza, come i files Javascript scaricati, in questo modo avrebbero lo stesso accesso al vostro BlackBerry come l’applicazione stessa. In seguito sono stati inviati dati di Google Analytics usando il sito http://www.gstatic.com. Non sembrava accedere a quello ufficiale per le connessioni API approvate da Instagram. Durante un uso più intenso, si connette ad un AWS amazon server cloud (dati presentati o motivo sconosciuto) e dati di notizie. Infine ha presentato una serie di pubblicità nascoste a Smaato. Gli annunci scoperti, non sono stati mostrati all’utente, e riciclati in background. Spostandosi ad un livello più profondo, si possono vedere le integrazioni che sono state aggiunte al sito http://www.kellyescape.com per supportare i collegamenti di Instagram suscettibili di arrivare tramite un aggiornamento, ma non sembrano presenti nella versione disponibile ora in BetaZone.
  Termini di servizio: questa applicazione non utilizza connessioni API standard approvate per Instagram. Sembra infrangere i termini di servizio di Smaato. E’ probabile che inizia ad utilizzare http://www.kellyescape.com per archiviare i dati privati degli utenti, e attualmente infrange i termini di servizio BlackBerry riguardanti l’utilizzo di API di terze parti.
Twittly rischio: alto
- Riassunto: per la maggior parte l’applicazione invia dati inusuali da Google Translate. Invia anche collegamenti attraverso un sito web hackerato, utilizza files PHP memorizzati su http://waterworlddjax.com e questo rappresenta un maggiore rischio per la sicurezza di dirottamento. Poichè tutti i dati sono presentati su http in testo normale, è un alto rischio per qualcuno rubare informazioni.
- Permessi richiesti: BBM (invito+ accesso al profilo), files condivisi, user PIN+info di device, localizzazione, microfono. E in più richieste extra di permessi attraverso facebook per i profili personali degli utenti, capacità di presentare messaggi per conto dell’utente, e lo stato della chat degli amici.
- Condivisione dati: le statistiche sono inviatea http://data.flurry.com sull’avvio, chiusura, minimizzazione e full-screen. Vengono inviati alcuni dati anche a http://waterworldjax.com/twitter/redirect.php comportamento altamente inusuale per una richiesta di reindirizzamento per un’applicazione. Ad un certo punto, ha iniziato ad inviare grandi quantità di dati per Smaato e ha richiesto approssimativamente 10 annunci pubblicitari al secondo, senza pubblicità visibili all’utente.
- Termini di servizio: questa applicazione sembra seguire i ruoli e le convenzioni API di twitter, e comunque sembra inoltre che stia per infrangere i termini di servizio Smaato.
Facebook Messenger Lite rischio: basso
- Riassunto: sembra che i dati che l’applicativo cerca di inviare e ricevere dal http://www.kellyescape.com, sia un URL che lo sviluppatore può attivare e disattivare a volontà. L’app utilizza circa 10 volte tanto il traffico richiesto per connettersi a Facebook, presentando i dati degli utenti nuovamente attraverso http://www.kellyescape.com.
- Autorizzazioni richieste: BBM (invito + accesso al profilo), file condivisi, PIN utente+info dispositivo, posizione, microfono. E poi le richieste di autorizzazioni aggiuntive tramite Facebook per il profilo personale degli utenti, possibilità di inviare messaggi per conto dell’utente, e lo status della chat degli amici.
- Condivisione dati: le statistiche sono inviate a http://data.flurry.com sull’avvio, chiusura, minimizzazione e full screen. Esso inoltre tira alcuni dati e files, attraverso http://www.facebook.com (non crittografato). In seguito è iniziato l’invio dati a Google Analytic. La maggior parte dell’instradamento utilizza http://m.facebook.com e http://chat.facebook.com sulla porta 5222 e http://edge-chat.facebook.com che invia dati a http://cloudfront.net, e alla fine ha affermato di inviare dati di nuovo a http://www.kellyescape.com7messenger. Non è ben chiaro l’utilizzo di CLOUD FRONT.
- Termini di servizio: questa applicazione sembra che non sia autorizzata da Facebook, la quale si pone in violazione dei termini di servizio sia di Facebook che di BlackBerry, mettendo gli account degli utenti a rischio attraverso l’uso di questa applicazione.
Igrann rischio: basso
- Riassunto: l’applicazione presenta tutti i dati a Instagram su connessioni protette con l’eccezione Google Analytic. Essa ha recuperato alcune foto non garantite, tuttavia, sono foto pubbliche con accesso a tutti gli utenti, e sembra essere un design di Instagram.
- Autorizzazioni richieste: non sono state richieste autorizzazioni.
- Condivisione dati: le statistiche di utilizzo sono state sottoposte al http://data.flurry.com sull’avvio, chiusura, minimizzazione e full-screen. Successivamente, l’applicazione ha iniziato ad inviare dati a Google Analytics. In caso contrario connettendosi solo ad Instagram.
- Termini di servizio: questa app ha eseguito il corretto handshake con l’API di Instagram, e ha sfruttato l’URL ufficiale di API Instagram.
Blaq rischio: basso
- Autorizzazioni richieste: BBM (invito + accesso al profilo), files condivisi, User PIN+ Info sul device.
- Condivisione dati: le statistiche sono inviate a http://data.flurry.com sull’avvio, la chiusura, minimizzazione e full-screen. L’altro unico URL di menzione all’interno della app era l’informazione mandata dai propri server al sito http://blaq.kisailabs.com e immagini del profilo da parte dei proprietari tramite Instagram durante il recupero della pagina About. In caso contrario, tutti i collegamenti sono stati inviati a http://abs.twing.com attraverso canali criptati, e http://api.twitter.com, ancora sui canali criptati. Sembrava che stesse cercando di connettersi ad una porta inconsueta (0.0.0.0:41340) durante l’utilizzo.
- Termini di servizio: questa applicazione sembra che segua le regole imposte dalle API Twitter.
Foursquare rischio: basso
- Autorizzazioni richieste: sconosciute
- Condivisione dati: le statistiche sono inviate a http://data.flurry.com sull’avvio, chiusura, minimizzazione e full-screen. L’unico altro dato crittografato viene inviato al http://waterworldjax.com/twitter/redirect.php. Presente anche un riferimento ad un motore di analisi http://www.doubleclick.net.
Hub Browser rischio: minimo
- Autorizzazioni richieste: nessuna
- Condivisione dati: sul lancio l’applicazione non ha accesso ad internet.
- Termini di servizio: questa applicazione non infrange alcun termine di servizio.
Work Wide rischio: minimo
- Autorizzazioni richieste: nessuna
- Condivisione dati: sul lancio l’applicazione non accede ad internet.
- Termini di servizio: questa applicazione non infrange alcun termine di servizio.
BlackBullet rischio: minimo
- Autorizzazioni richieste: nessuna
- Condivisione dati: sul lancio, l’app accede solo ai server Push Bellet, utilizzando link ufficiale. Ha scaricato immagini dal sito Google. https://sites.google.com/site/helexmeegoprojects/ il quale sembra che sia il sito principale del creatore.
- Termini di servizio: non sembra che infranga alcun termine di servizio.
Meetup per BlackBerry 10 rischio: minimo
- Autorizzazioni richieste: nessuna
- Condivisione dati: questa app verifica i dati su https://secure.meetup.com, collegamento con il modulo sulla politica della privacy dal sito dei creatori.
- Termini di servizio: l’app non infrange alcun termine di servizio. Lo sviluppatore ha validato l’applicazione con il team Meetup.

L’analisi effettuata non deve considerarsi come un modo complesso per analizzare e testare applicazioni, ma come potete ben vedere, queste app presentano molte differenze in termini di sicurezza, rischio e utilizzo internet.

Quando si cercano applicazioni sicure cosa bisogna tenete ben a mente?

Bisogna essere cauti riguardo le applicazioni che non si connettono direttamente al servizio atteso; se questa si muove attraverso un terzo sito web, quel sito può essere dirottato per ottenere l’accesso direttamente a voi e, se l’applicazione sta inviando dati a 12 diversi siti, queste rappresentano 12 diverse opportunità per qualcuno, di ottenere un accesso alle vostre informazioni su cui lo sviluppatore ha ridotto il controllo.
Non abbiate paura di porre domande difficili: i vostri dati sono i VOSTRI e voi non dovreste avere la possibilità di farli maneggiare senza che qualcuno vi dica cosa stanno raccogliendo, per quale motivo lo fanno e a chi li stanno inviando.
Denunciate le persone che infrangono le politiche e i termini di servizio. Essi non costruiscono gli API né i Server e non decidono le regole. Vi fanno pagare per un servizio che non gli appartiene, non sono in realtà di supporto in molti casi, e nemmeno ne capiscono. E se le cose vanno di traverso non staranno vicino a voi per ricevere indietro le vostre password o account.
Non fidatevi di quelle applicazioni che provengono da sviluppatori dove il supporto è incompleto o contraddice i siti di supporto BlackBerry. Siate davvero molto cauti nei riguardi di persone che utilizzano una terminologia gergale, non professionale o emotiva, con i propri clienti.

Le applicazioni per BlackBerry 10 non sono poi così sicure come si crede

Articoli Simili

BlackBerry World si aggiorna, per BlackBerry 10, alla versione 5.4.0.4

Virtual Expert si aggiorna, per BlackBerry 10, alla versione 3.2.3.1031

Anche LinkedIn termina il supporto per BlackBerry 10 a partire dal 15 Gennaio

Bloccare le chiamate indesiderate con BlockIT, per BB 10, si aggiorna alla versione 1.2.6.22

Echo, il registratore vocale per BlackBerry 10, si aggiorna alla versione 1.6.0.22

Creare promemoria per le chiamate perse con ReCall per BB10 si aggiorna alla versione 1.2.3.22

Download aggiornamento ufficiale 10.3.3.2163 per BlackBerry 10

Download aggiornamento ufficiale 10.3.2.2876 per BlackBerry 10

Download aggiornamento ufficiale 10.3.2.2639 per BlackBerry 10

Download aggiornamento ufficiale 10.3.1.2576 per BlackBerry 10

Download firmware beta 10.3.3.3216 per BlackBerry 10

Download firmware beta 10.3.3.3057 per BlackBerry 10

Download firmware beta 10.3.3.2205 per BlackBerry 10

Download firmware beta 10.3.3.2163 per BlackBerry 10

BlackBerry DTEK50: il primo contatto

BlackBerry Priv: il primo contatto

Le considerazioni di chi il BlackBerry Priv lo ha già provato

BlackBerry Classic, il telefono che non ti aspetti

Il Priv non è BlackBerry, non è Android, sa soltanto quello che non è

BlackBerry fa i fatti mentre i suoi competitors pubblicizzano solo le Idee

Smartwatch BlackBerry, una utopia oppure una nuova realtà?

BlackBerry ma che stai facendo?