Google trova e rimuove dall’app store le app che nascondevano un malware per la raccolta dati

L’app store di Google è sotto attacco. Due ricercatori scoprono che la società panamense «Measurement Systems S. de RL» avrebbe inserito un codice nelle app per sottrarre dati degli utenti. La stessa risulta essere collegata ad un appaltatore di sicurezza nazionale statunitense, in particolare ad un appaltatore della difesa della Virginia che offre servizi di cyber intelligence, difesa della rete e intercettazione di intelligence per le agenzie di sicurezza nazionale statunitensi. A seguito della scoperta, Google rimuove le app malware dal suo Play Store. Secondo i ricercatori che hanno scoperto l’anomalia – durante un’attività di controllo relativa alla ricerca di vulnerabilità nelle app Android -, il codice era in grado di funzionare su milioni di dispositivi Android ed è stato trovato all’interno di varie app di preghiera musulmane, scaricate più di 10 milioni di volte, nonché all’interno di un’app di rilevamento di autovelox, di lettura di codici QR e di altre app di grande diffusione.  

Leggi anche > C’è un evidente problema con i dati in real time di Google Analytics in tutto il mondo

Google rimuove app malware dal suo Play Store

Measurement Systems S. de RL avrebbe pagato gli sviluppatori di tutto il globo per far funzionare il suo codice, per «incorporarlo». Secondo Serge Egelman, ricercatore presso l’International Computer Science Institute e l’Università della California, Berkeley, e Joel Reardon dell’Università di Calgary, il codice è conosciuto come «kit di sviluppo software o SDK» nelle app, e avrebbe permesso alla Measurement di raccogliere segretamente i dati dai propri utenti. L’operazione sarebbe riuscita poiché le app moderne, secondo Egelman, spesso includono SDK scritti da aziende poco conosciute, come Measurement Systems, «che non sono controllati o ben compresi». Inserire questi SDK è spesso allettante per gli sviluppatori di app, che così possono controllare il flusso di entrate e avere dati dettagliati sui loro utenti. Secondo Egelman bisogna, pertanto, stare molto attenti ed evitare di acconsentire ad attività non comprensibili nelle app: «questa saga continua a sottolineare l’importanza di non accettare caramelle da estranei», dichiara lo stesso.

Egelman e Reardon, che sono anche i cofondatori della AppCensus, società che analizza la sicurezza e la privacy delle app mobili, ritengono il software della Measurement, l’SDK più invasivo per la privacy di quelli che hanno visto nei sei anni in cui hanno esaminato le app mobili: «senza dubbio essere descritto come malware». Gli stessi hanno documentato le loro scoperte sul codice dei sistemi di misurazione in un rapporto pubblicato mercoledì, condiviso con The Wall Street Journal e precedentemente fornito alla Federal Trade Commission. Nella prima parte si legge che: «la tecnica che abbiamo inventato per scoprire lo sfruttamento attivo dei canali laterali e nascosti continua a funzionare. Uno di questi canali laterali proviene da un’oscura compagnia presumibilmente panamense. Uno sguardo al loro codice costituisce un interessante case study sull’offuscamento (e fornisce alcuni esempi di un’app che si sente troppo a suo agio durante la raccolta dei dati degli utenti). Iniziamo con l’app WiFi Mouse (PC di controllo remoto), che vediamo trasmettere l’indirizzo MAC del nostro router al dominio mobile.measurelib.com».

Nel post, i due ricercatori hanno nel dettaglio creato un elenco di app in cui hanno rilevato il codice, nella foto che segue se ne mostrano alcune:

Nella tabella completa, che si trova sul sito dei ricercatori, vengono individuate le app con cui questi hanno confermato la comunicazione con mobile.measurelib.com. Egelman e Reardon hanno segnalato il problema a Google il 20 ottobre 2021 insieme a questo elenco di app e condiviso le loro scoperte con la piattaforma lo scorso marzo, la quale ha poi avviato un’indagine che ha portato al divieto: «le indagini della FTC non sono pubbliche, non possiamo commentare se stiamo indagando su una questione particolare», ha dichiarato una portavoce della FTC.

Le app contenenti il ​​software «Measurement Systems» sono, dunque, state rimosse dal Google Play Store il 25 marzo, secondo quanto dichiarato da Scott Westover, portavoce di Google, perché avrebbero raccolto dati di utenti al di fuori delle regole stabilite da Google. Westover ha aggiunto che le app potrebbero essere rimesse in vendita in caso di rimozione del software. E, infatti, alcune sono già tornate operative nell’App Store. L’azione di Google, comunque, non limita la capacità di Measurement System di raccogliere dati da milioni di dispositivi in tutto il mondo in cui è già installato il suo software. Quindi, il pericolo è ancora presente. La scoperta di Egelman e Reardon, però, è stata fruttuosa perché questi hanno scoperto che l’SDK ha smesso di raccogliere dati sui suoi utenti e si è scollegato poco dopo che i due ricercatori hanno iniziato a far circolare le loro scoperte.

Il software Measurement Systems funzionava all’interno di più di 12 app, tra cui molte app di preghiera a tema musulmano come Al Moazin e Qibla Compass. Il kit software Measurement Systems era presente su app scaricate milioni di volte (su almeno 60 milioni di dispositivi mobili), anche se si teme che i download siano stati molti di più. Google ha però rifiutato di comunicare quante app contenessero il software. Secondo i risultati dei ricercatori, purtroppo, la reale portata del software potrebbe essere molto più ampia di quanto scoperto.

Foto IPP/imagostock