Android: il 66% delle app per criptovalute non utilizza la crittografia

Schermata del pdf di verifica delle vulnerabilità delle app Android.

Il 94% delle app più popolari utilizza metodologie di crittografia datate e vulnerabili ad attacchi di malintenzionati.

di Francesco Argese (articolo) e Michele Caltagirone (video)

30 novembre 2017 08:31

Non perdere le ultime news

Clicca sull’argomento che ti interessa per seguirlo. Ti terremo aggiornato con le news da non perdere.

Smartphone

Bitcoin

Android

Video del Giorno: Juventus all'ultimo atto di Coppa Italia per l'ottava volta nelle ultime dieci edizioni

Il valore delle criptovalute, Bitcoin in testa, continua a salire in maniera inesorabile di giorno in giorno toccando ogni giorno un nuovo record. È difficile sapere fino a quanto durerà o se si tratti di una bolla speculativa; possiamo dire però con certezza che più tale tecnologia si diffonde più i portafogli di criptovalute cominciano ad interessare anche gente malintenzionata interessata a rubare denaro digitale utilizzando le proprie competenze informatiche per sfruttare vulnerabilità software.

Una delle tecniche utilizza app fake in grado di rubare le credenziali ma, stando ad uno studio condotto da High-Tech Bridge, non bisogna stare attenti solo alle app fraudolente ma anche dalle app che non dispongono di appropriati sistemi di sicurezza, che possono consentire ad un malintenzionato di rubare le informazioni di login o la loro moneta digitale.

High-Tech Bridge ha condotto l'analisi tramite la sua app gratuita di analisi, chiamata Mobile X-Ray, con la quale sono state analizzate 90 app Android per criptovalute di cui 30 che hanno raggiunto fino a 100000 download, altre 30 con un numero di download fino a 500000 download e le restanti 30 con un numero di download superiore a 500000.

I risultati dell'analisi

Dall'analisi condotta sono emersi dati sconcertanti:

il 94% delle app utilizza metodologie di crittografia datate;
il 66% non utilizza HTTPS per crittografare le informazioni degli utenti che vengono inviate in rete;
il 44% utilizza password di default non nascoste (visibili in chiaro nel codice);
il 94% delle app è risultata presentare almeno tre vulnerabilità con un rischio medio.

Nel caso in cui qualche malintenzionato utilizzi queste vulnerabilità per recuperare tali informazioni, potrebbe riuscire a rubare i fondi disponibli informazioni sensibili come le password.

Se non si dispone di sistemi di crittografia appropriati, infatti, potrebbe accadere che, mentre si è collegati ad una Wi-Fi non sicura, qualcuno potrebbe catturare il traffico di rete, intercettare le password per il login ed accedere al portafoglio digitale.

Naturalmente per far ciò un malinzenzionato deve avere molte competenze tecniche e deve lavorare con diverse metodologie per l'estrapolazione dei dati, ma, dal punto di vista teorico, è possibile che qualcuno lo faccia.

La questione delle app che incorporano spyware e/o che non dispongono di appropriate metodologie di sicurezza è un problema che riguarda l'intero ecosistema delle app ma le applicazioni per criptovalute sono particolarmente sensibili a tale problematica in quanto nel caso di un furto di moneta digitale non c'è possibilità di recuperarlo anche se trovato. Per tale motivo quando si utilizza tali app bisognerebbe essere più prudenti informandosi che i sistemi di sicurezza incorporati siano appropriati al loro utilizzo.

Content sponsored by Outbrain