Quando software fa rima con malware. Pugno duro Google: bannate tantissime applicazioni

Un punto di partenza, non di arrivo. La privacy continua a costituire un grosso problema su internet. Soprattutto sulla piattaforma delimitata da Google. Il colosso di Mountain View prova a usare il pugno duro nei confronti di quelle applicazioni che hanno utilizzato un software di raccolta dati nascosti, contenente un malware a tutti gli effetti.

Tutto parte da un’indagine del Wall Street Journal, che aveva mostrato come tantissime app avevano invaso la privacy di milioni di utenti. Così Google ha ritirato dozzine di app dopo aver scoperto che hanno raccolto dati di nascosto.

I ricercatori hanno trovato app meteorologiche, app radar autostradali, scanner QR, app di preghiera e altri contenenti codici che potrebbero raccogliere la posizione precisa di un utente, e-mail, numeri di telefono e altro ancora.

L’SDK era presente su app scaricate su almeno 60 milioni di dispositivi mobili

Il software in questione sarebbe stato realizzato da Measurement Systems, una società che nega qualsiasi tipo di accuse, ma sarebbe collegata a un appaltatore della difesa della Virginia che si occupa di cyber intelligence e altro per le agenzie di sicurezza nazionale statunitensi.

Il codice malevolo è stato scoperto dai ricercatori Serge Egelman della UC Berkeley e Joel Reardon dell’Università di Calgary, che hanno rivelato le loro scoperte alle autorità di regolamentazione federali e a Google. Può “senza dubbio essere descritto come malware“, parola di Egelman proprio al WSJ.

Measurement Systems, secondo le accuse, avrebbe pagato gli sviluppatori per aggiungere i loro kit di sviluppo software (SDK) alle app. Gli sviluppatori non solo sarebbero stati pagati, ma avrebbero avuto la possibilità di ricevere informazioni dettagliate sulla loro base di utenti.

L’SDK era presente su app scaricate su almeno 60 milioni di dispositivi mobili. Uno sviluppatore di app ha rivelato che il codice stava raccogliendo dati per conto di ISP insieme a società di servizi finanziari e di energia.

Measurement Systems ha anche affermato di volere dati principalmente dal Medio Oriente, dall’Europa centrale e orientale e dall’Asia.

“Un database che mappa l’e-mail e il numero di telefono effettivi di qualcuno sulla sua precisa cronologia delle posizioni GPS è particolarmente spaventoso”. Così Reardon nel blog di ricerca AppCensus. “Il software potrebbe essere facilmente utilizzato per eseguire un servizio per cercare la cronologia delle posizioni di una persona, semplicemente conoscendo il suo numero di telefono o e-mail, prendendo di mira chiunque”.

Sebbene Google abbia ritirato quelle app dal Play Store, i ricercatori hanno notato che esistono ancora su milioni di dispositivi. Per questo i ban del colosso di Mountain View sono un punto di partenza, non certo di arrivo.