Il 14 novembre, l’agenzia Reuters, ha pubblicato sul suo sito un’inchiesta esclusiva sul sistema di notifiche Pushwoosh, accusando la software house (Pushwoosh Inc.) di presentarsi sotto mentite spoglie come un’azienda statunitense, con sede nel Delaware, ma di essere in realtà una società russa e di essere quindi un potenziale pericolo per la sicurezza.
Il servizio di Pushwoosh facilita molto il lavoro a tutti i team di sviluppo di applicazioni per smartphone e di siti internet che vogliono integrare nei propri prodotti un sistema di notifiche già pronto, senza dover inventare un sistema da zero. Pagando un abbonamento mensile da pochi euro, si ottengono dei blocchi di codice che con un semplice copia-incolla si integrano nelle proprie app o nei propri siti, con i quali diviene possibile inviare a milioni di utenti, tramite una comoda interfaccia web, le onnipresenti notifiche che ci sommergono ogni giorno e che ci informano dell’ennesimo messaggio in un gruppo WhatsApp o di un ricordo di Facebook che forse preferivamo dimenticare.
Dov’è il pericolo in un sistema di questo tipo? Apparentemente nessuno: inviare notifiche a un dispositivo non significa averne il controllo né avere accesso a dati personali del suo utente, almeno in superficie.
L’utente, scaricando una delle app che utilizza il servizio, in realtà accetta di condividere alcune informazioni sensibili proprio a causa del sistema di notifiche, in particolare l’utente accetta esplicitamente di ricevere tali aggiornamenti, di fornire informazioni sul dispositivo di sua proprietà (come marca e modello, ma anche altri dati) e, soprattutto, la possibilità di fornire la propria posizione geografica.
Quest’ultimo punto è fondamentale: immaginiamoci una app come Netflix, distribuita in tutto il mondo, i cui gestori devono inviare la notizia della pubblicazione delle puntate di una nuova serie in diversi paesi. Poter “segmentare” il pubblico in base, ad esempio, alla posizione geografica o alla lingua impostata sul dispositivo, consente di inviare notifiche nella lingua effettivamente parlata dal suo possessore. Queste informazioni vengono quindi registrate sui sistemi di proprietà del servizio di notifiche – Pushwoosh in questo caso – e associate a un codice identificativo univoco dell’utente (non riconducibile però ai suoi dati anagrafici) in modo da mantenerne i dati senza dover ogni volta richiederli all’applicazione.
Da quel momento la piattaforma di notifiche ha la capacità di inviare notifiche a nome dell’app in totale autonomia con in più la capacità di segmentare in profondità il bersaglio della notifica. Ma quanto si può scendere in profondità in quest’opera di segmentazione?
Ne abbiamo parlato con una nostra fonte che ha lavorato allo sviluppo di applicazioni editoriali, anche per testate italiane di primaria importanza, che utilizzavano il servizio Pushwoosh. Ne parliamo al passato poiché la maggior parte di queste app non sono più pubblicate sugli store Apple e Google o utilizzano servizi differenti per l’invio delle notifiche.
Dalla sua esperienza si evince che minore è il pubblico che scarica l’app, maggiore è la capacità di inviare notifiche specifiche a un ristretto numero di utenti se non a un utente ben specifico. Ipotizziamo un’app di una banca di piccole dimensioni e un suo correntista che vive in un paese in provincia che la utilizza su di un particolare modello di telefono non troppo comune. Avendo accesso alla piattaforma di notifiche e conoscendo queste informazioni basiche relative all’utente, è possibile inviare una o più notifiche esclusivamente a lui. In linea teorica un truffatore che riesce ad avere accesso al sistema potrebbe inviare una notifica del tutto legittima avvisando di un pericolo di sicurezza sul conto e che un operatore contatterà il correntista telefonicamente. A quel punto, il correntista che riceve la telefonata del truffatore sarà ben predisposto a rispondere a ogni domanda sensibile relativa al proprio conto corrente non sospettando che possa trattarsi di un imbroglio.
Questo è ovviamente uno scenario ma ce ne potrebbero essere molti di più. Un sistema di notifiche compromesso può inviare false notizie, avvisi inventati, mascherare messaggi personali di conoscenti o messaggi automatici inviati nel momento in cui la vittima si trova in prossimità di un luogo ben preciso e definito sul sistema stesso.
Guardando la documentazione pubblica di Pushwoosh si vede che è inoltre possibile inviare delle “silent notifications” che consentono di inviare delle notifiche nascoste e in background per far, ad esempio, aggiornare l’app, oppure mostrare una sezione specifica alla sua prima apertura da parte dell’utente o ancora scaricare dati dai propri server senza che l’utente ne venga informato poiché non riceverà né avvisi né notifiche sonore.
Andando ancora più in profondità attraverso Pushwoosh è possibile individuare esattamente il dispositivo di un utente. Uno scenario quasi irreale ma comunque possibile. Irreale poiché si presuppone che vi sia un’azione malevola da parte di un hacker che ha accesso anche solo per pochi minuti al dispositivo della sua vittima e abbia poi anche accesso alla piattaforma di invio delle notifiche. La stessa documentazione pubblica di Pushwoosh indica come fare. Il sistema assegna infatti un codice identificativo univoco a ogni dispositivo sul quale è installata un’app che utilizza il servizio fornito dal software. Questo codice identificativo può essere poi recuperato facilmente: utilizziamo l’esempio di un iPhone che viene poi collegato a un Mac con installato il software ufficiale di sviluppo app per Apple, Xcode. In pochi passaggi viene recuperato l’identificativo univoco dell’utente e tale operazione può esser fatta anche per dispositivi Android o, con un metodo molto più semplice e ben documentato dalla guida, per le notifiche dei browser web Chrome e Safari.
Conoscendo il codice identificativo dell’utente sarà quindi possibile inviare delle notifiche – visibili o nascoste – esclusivamente sul dispositivo della vittima o delle vittime segmentando i propri utenti come descritto dalla documentazione pubblica ma anche conoscendo sempre la sua o la loro posizione poiché il software dell’app può avere il consenso all’utilizzo del GPS del telefono e può quindi inviarne le coordinate a Pushwoosh.
Il potenziale rischio di sicurezza di un sistema di questo tipo non è quindi da sottovalutare anche considerando i suoi “clienti” che Reuters ha individuato negli USA. In particolare, l’esercito degli Stati Uniti ha dichiarato che solo da marzo il codice di Pushwoosh è stato eliminato da un’app che veniva utilizzata da centinaia di soldati di stanza in una delle principali basi di addestramento e combattimento del paese. Dopo la pubblicazione dell’inchiesta anche il CDC (Centre for Disease Control and Prevention) – agenzia federale statunitense, importantissimo organismo di controllo sulla sanità pubblica e centro di protezione per malattie infettive COVID-19 compreso – ha rimosso sette applicazioni dagli store Apple e Google adducendo problematiche di sicurezza. Sicurezza che al momento non risulta essere stata violata.
LEGGI ANCHE GLI ALTRI ARTICOLI DELLA NOSTRA MONOGRAFIA:
La nostra indagine: Pushwoosh è un’azienda russa o americana?
Lo sapete cosa vi succede quando vi arriva una notifica da una app?
Quali sono le principali app per le notifiche push