Rubavano le credenziali Facebook, 25 app rimosse dal Play Store

06 Luglio 2020 101

Google ha rimosso dal Play Store 25 app fraudolente, su segnalazione della società di sicurezza informatica francese Evina. Il modus operandi condiviso era di indurre con l'inganno l'utente a svelare le proprie credenziali di accesso a Facebook, attraverso una pagina di login falsa molto simile all'originale.

Nel complesso, le app erano state scaricate 2,4 milioni di volte, e si mascheravano da torce, casual game, editor di foto, tool per la cattura di screenshot e collezioni di sfondi - app di cui è pieno il Play Store, insomma, che è facile far passare sotto i radar.

Evina ha osservato che alcune delle app rimosse sono rimaste nel Play Store per più di un anno prima della loro eliminazione. I software funzionavano in modo generalmente legittimo, ma monitoravano anche quale fosse l'app in primo piano. Se rilevavano Facebook, mostravano la finta pagina di login attraverso il browser Web.

Quando Google rimuove dal Play Store un'app per ragioni di sicurezza, questa viene anche disabilitata sui dispositivi in cui è stata installata. In aggiunta, Google invia una notifica agli utenti vittima dell'attacco phishing attraverso Play Protect. Le segnalazioni di Evina sono state fatte nel corso del mese di maggio, e Google ormai ha già provveduto a rimuoverle tutte dopo aver verificato le accuse personalmente.

L'android più piccolo e potente? Samsung Galaxy S23, in offerta oggi da smartapp a 598 euro oppure da eBay a 649 euro.

101

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
qandrav

Google non vuole punire proprio nessuno, anzi l'unico interesse che hanno è avere il maggior numero possibile di app in modo sia più alta la probabilità che gli utenti spendano soldi sullo store.

a google frega zero degli utenti...

qandrav

si è beccata una stella col mio account e quello aziendale per quel motivo (e mi pare chieda anche la posizione)

ErCipolla

Si, ormai i sistemi di testing automatizzato sono molto avanzati, però non sono veramente intelligenti, in realtà hanno un approccio a forza bruta: individuano tutti gli elementi interattivi della UI e provano a simulare ogni possibile tocco e registrano cosa succede.

Per quanto riguarda il motivo per cui non ti bloccano un'app anche se crasha: è perché non possono sapere per certo se è colpa tua o se è colpa di differenze tra l'ambiente reale e l'emulatore, che è una cosa più probabile di quanto sembri.

Forse non siamo lontani ;)

Sto cercando ora di aggiornare un codice in c++, passando allo standard c++17. E' incredibile quanto il compilatore (VS2019) sia in grado di fare. In base al codice riesce già a capire se potrebbero esserci problemi di death lock ad esempio.

Ho sviluppato solo 2-3 apps su Android e mi stupisco ogni volta di come sia in grado di testare le mie apps, mostrandomi i testi che non sono visibili su alcuni dispositivi o appunto i crash dopo aver rifiutato un qualche permesso. Eppure, pur avendo constatato il crash, mi accettano l'app comunque.

Sickboy

Esatto concordo!

Dea1993

ma seriamente cosi' tanta gente scarica applicazioni per la torcia? non si fa prima a tirare giu il menu a tendina e premere il toggle? lo fai anche da schermo bloccato.

Karellen

Togli le gapps ed android diventa open source. Con android puro non sarebbe cambiato niente se non che avresti dovuto installare gli apk manualmente invece che dal play store.

Filo Montani

Sì sì è un discorso lungo (che peraltro esula dal caso specifico perché non si parla di "bucabilità" ma di un'app artatamente volta al furto dei dati, e per app per le quali le misure cautelative precedono anche l'andare a scartabellare il codice sorgente)

Sickboy

Ma non ci sta per nulla come ragionamento, non è che se non so non esiste... Se ci sono vulnerabilità portate alla luce, si deve correre ai ripari (e solo se ne hai conoscenza puoi farlo)
Ma qui si entra in una diatriba infinita :)

Filo Montani

In termini astratti rendi eventuali vulnerabilità più "visibili"

Sickboy

e cosa ci azzecca opensource con "ti bucano come una gruviera" ?

Filo Montani

In generale perché rende più facile scoprire e correggere vulnerabilità, per quanto riguarda le app in oggetto è anche possibile non c'èntri nulla

max76

Mah.....e poi ti bucano come un gruviera...

ErCipolla
Jfry

Ovvero nulli, per velocizzare i tempi ormai non vengono più fatti.

Ma questo la dice anche lunga sulle autorizzazioni che vengono concesse alle app... permetterle di sapere che app c'è in primo piano? Così liberamente?
Farle aprire link di phishing? WTF? Basterebbe un intestazione in alto per dirti quale app la sta aprendo.

Jfry

O semplicemente finchè non aggiungeranno un processo di certificazione stile Apple e Microsoft.
Non ha senso sacrificare la sicurezza in cambio di un rilascio quasi istantaneo sullo store, basterebbe analizzare tutti i pacchetti prima di renderli pubblici.

TheFluxter

Sono tutte scuse per me.
E' chiaro che se vuoi il BT, ha bisogno di avere accessi alla localizzazione. Ma si potrebbe creare un qualcosa di astratto. In fondo non ti chiede se dargli il permesso ad internet (quello se lo prende, senza chiedere niente a nessuno).
L'app che va in crash é sicuramente perché scritta male. Ma Google potrebbe verificare il funzionamento. Lo faceva Nokia su Symbian, lo fa Apple su iOS e lo fa Microsoft con Windows (forse anche Huawei, non lo so). Google ha tanti di quei sistemi automatizzati per vedere il funzionamento che non dovrebbe nemmeno impiegare personale per certificare l'app (come fanno tutti).
Anzi, persino tu come sviluppatore ricevi i vari filmati di dispositivi con Android 6 fino ad Android 10, dove vedi cosa succede quando il telefono non concede i permessi. Se una app crasha, questa app non dovrebbe essere disponibile per quella versione di Android nello store.
Insomma, la tecnologia ci sarebbe per garantire apps di qualità. Ma Google si ostina a lasciare tutto quanto e non ha nessuna voglia di impedire di caricare virus e apps spyware nello store.

Lo sai meglio di me che le apps sono scritte in Java! E' un codice "macchina" che può essere ripristinato al 100% senza fatica affinché tu possa vedere come sia scritto. Google vede esattamente cosa fa una app e dove stanno i problemi, anche senza una persona fisica.

ErCipolla

Concordo che potrebbero rendere più chiaro il messaggio per l'utente medio, su questo non discuto. In quanto ai permessi: se un'app si blocca o crasha quando neghi un permesso è semplicemente scritta male, là non è certo colpa di Android, è lo sviluppatore dell'app che non ha gestito il caso "l'utente non mi ha concesso i permessi".

Oni Garl

https://uploads.disquscdn.c...

Sickboy

Direi di no ma si potrebbe parlare di maggiore trasparenza

Mi é chiaro che sai benissimo come funzionano. Ma se non sei del "campo" é dura! Ci sarebbero sistemi più facili. Inoltre una app deve funzionare anche senza permessi. Su Android spesso si blocca tutto, o si chiude l'app.
Dico solo che ad un certo punto, la richiesta dei permessi diventa un messaggio del tipo: accetti i cookies? Si dice sí e poi funziona. E non dovrebbe essere così...

LuPo
Undertaker

Tutta spazzatura Cinese.

Vick30000

Google play store sembra un bordello. Tutti avranno accesso.

max76

Semmai il contrario..

Marco

Fossero solo 25 ahahaha, sarà pieno di ste app spazzatura

Marco

Si ma ci sono certe app che non funzionano se non gli dai l'accesso alle cose, ed è una fregatura.

graziano8822

Finché non verrà creato un sistema operativo completamente open source, come avviene con Linux su desktop, gli utenti saranno sempre in pericolo. Peccato che Fire Os non sia andato in porto...

mruser2

Meglio le soluzioni integrate di Apple che sono più sicure

Federico

Già, diffuse in milioni di copie da uno Store americano.
Lo spionaggio statunitense perde il pelo ma non il vizio

Motoschifo

Perchè no? Quelle probabilmente sono state le più facili da riconoscere perchè di fatto la torcia non dovrebbe avere accesso a tante cose (comunque deve gestire hardware quindi sono ugualmente parecchie autorizzazioni).
Oltretutto se la torcia si attiva prima del login, altre autorizzazioni ancora superiori...

Comunque non tutti i sistemi hanno quelle app di default, e non tutte le app sono utili o comode, è giusto poterle sviluppare ma non è giusto che possano avere accesso a dati sensibili.

Jaspie98

Fino ad anni fa, forse con kitkat, non c'era il tasto per la torcia, alcuni preinstallavano un'app dedicata

QuelMattacchioneDiJohnMalkovic

https://www.iphoneitalia.com/712775/app-malware-app-store

QuelMattacchioneDiJohnMalkovic

dipende come funziona l'app, se usa html5 caricato dal web ci puoi fare nulla, inoltre i dati li inserivano gli utenti direttamente

Nickever Professional™

Ma perchè uno dovrebbe scaricare app sulla torcia, cattura screenshot e roba simile quando gli smartphone di default hanno già tutta sta roba?
Santa pazienza con i fessi....

Non è detto, alcune app hanno l'accesso automatico attraverso l'app di facebook, altre ti aprono la pagina web per il login, quindi ogni login Facebook sarà visto diverso per ogni app, a meno che non salvi con smart google già le password per ogni app

Motoschifo

È del tutto normale, pensa che spesso mi sento dire "mi chiede la password, l'ho inserita ma non è corretta". Questo su servizi mai registrati, solo perchè hanno una password non significa che vale dappertutto... e gente nemmeno troppo vecchia, anzi.

Motoschifo

A volte lo siamo già anche oggi. Quando gli avvisi o le procedure di attivazione sono lunghissime e tecniche, raramente alla decima volta ti fermi a leggere tutto e rifletterci sopra 10 minuti... come in realtà dovresti fare.

Motoschifo

Considera che in base alle cose che puoi fare, alcune autorizzazioni sono conseguenza di altre. Sono secondo me troppo generiche, tipo "accesso alla posizione, sempre".
Se poi devi scrivere hai accesso alla cartella, e spesso a tutta la card, o quando devi inviare un messaggio ti propone l'accesso all'intera rubrica quando non ce ne sarebbe davvero bisogno.... e della rubrica, io metterei solo il numero di telefono niente nomi o altri dati, ma così quando alzi l'orologio non vedi chi ti sta chiamando.
Oppure se dai all'orologio la possibilità di telefonare (perchè ad es. ha modo di chiudere o di girare la chiamata) allora non solo potrà rispondere ma in teoria anche telefonare, avere accesso al microfono, all'altoparlante, alla rubrica, ecc.

Motoschifo

Hai provato ad attivare un braccialetto contapassi? Può decidere tutto sul telefono, e nella maggior parte dei casi anche "giustamente" perchè può avere accesso alla posizione, alla memoria, ad internet, a dati personalissimi (peso, spostamenti, numero di passi fatti nella giornata), ecc.
Sarà necessario ripensare le autorizzazioni di oggi, non valgono praticamente nulla perchè non mi serve bloccare un'app che necessita della mia posizione, mi serve bloccarla se la usa per scopi differenti dal grafico della corsa... ma come fai a distinguere le due cose?
Secondo me l'unica soluzione è spostare i dati in un posto "personale" e passarli alle altre app in formato anonimo, quindi l'app può fare tutti i conti che vuole ma oltre al tuo display quelle info non escono.
Come? Non ne ho idea, risulterebbe molto complesso e poi sparirebbero tutti gli introiti e incentivi per le pubblicità, che in quel modo potrebbero essere bloccate con un click per sempre...

Motoschifo

Devi dimostrare la cosa davanti ad un giudice, come fai?
In base a dove hai la sede legale potrebbe essere molto complicato o impossibile da attuare.

Già un ban di Google è comunque un ottimo disincentivo perchè limita i danni, poi con i controlli che fanno riescono a toglierti o segnalarti l'applicazione anche quando già installata.

Motoschifo

Non puoi verificare questo tipo di cose, se non stravolgendo l'intera logica di ciascuna app. In pratica bloccheresti ogni personalizzazione e quindi le app stesse risulterebbero per lo più inutili.
Se poi dai un bollino di qualità, magari all'update successivo fanno ciò che vogliono con le tue autorizzazioni.
Se non fai nulla e richiedi l'ok per procedere, sei di nuovo bloccato perchè ad ogni secondo ti chiederebbero il consenso e finiresti per darlo sempre.
Insomma non c'è soluzione... da sempre però, solo oggi abbiamo la sensibilità di questi dati ma in genere ogni applicazione che esegui da pc può sbirciare dove vuole e rimanere in ascolto quanto vuole...

Turk
ErCipolla

Ti do ragione sul fatto che è confusionario per gli utenti, ma penso fossero cause di forza maggiore perché la cosa è stata introdotta dopo che uscirono vari articoli sensazionalistici del tipo "le app android possono risalire alla posizione anche senza il permesso geolocation, gombloddo!!!!".

Quello dei permessi chiesti in fase di installazione è un non problema, francamente ormai sono quasi inesistenti, è una vita che non ne vedo una.

Valentino

Questo la dice lunga sui controlli che vengono effettuati da google quando uno sviluppatore carica un'app.

TheFluxter

Bella domanda

Capibile per te! Accettabile no! Soprattutto se si pensa che sia Google a scrivere questo OS.

Dico solo, che se le persone devono accettare permessi come il GPS e le foto per una semplice connessione BT, poi non bisogna stupirsi se danno accesso a tutto quanto.

Mi é chiaro che per uno come te, sia comprensibile. Ma nella mia famiglia non uno mi guarderebbe i permessi... La colpa é in parte loro ma anche di Google.

Posso capire che per Google sia un grande lavoro (anche se Apple e MS lo facevano senza tante storie). Ma ci sono cose che potrebbero cambiare!

I permessi sono solo una parte del problema. Una app scaricata almeno 1000 volte dovrebbe essere subito controllata da Google per vedere se si rispettano le condizioni. Apple e MS lo fanno prima del primo download. Perché Google non può farlo a partire da 100 o 1000 downloads ad esempio?

Desmond Hume

Il contapassi di baidu che ruba le credenziali facebook ?

Beh questo è spionaggio cinese bello e buono.

Puoi inventarti 1000 scuse. Il fatto é che rende complicato agli utenti e non aiuta di certo a capire quali permessi dare.

A Google interessa avere milioni di apps nello store. Se volesse avere sicurezza, eliminerebbe tutte le apps che chiedono il permesso alle foto durante l'installazione (scritte per Android 6).

Inoltre non sarebbe fantascienza per Google, inserire permessi chiari per il GPS e il BT, affinché il BT non debba farti pensare che l'app necessiti anche il GPS, o sbaglio?

I permessi sono stati introdotti da Nokia nel 2005. Google aveva tutto il tempo per creare un ecosistema evoluto e lo ha copiato 1:1. In 10 anni non é migliorato molto e ora vedi i risultati:
- ogni app chiede permessi a cui non sai rispondere
- conseguenza: accetti e basta.

Puoi, puoi reputarti il miglior "smanettatore" del mondo e insegnare a chi ne sa di meno, se installare o no una app. Ma il 99% degli utenti non é ai tuoi livelli e devi pensare a loro quando crei un sistema come Android.

Recensione Motorola Razr 40 Ultra: due smartphone nel taschino

Confronto smartphone fascia media 2023: il vincitore che non ti aspetti | Video

Recensione POCO F5: si sceglie per peso, batteria e prestazioni | Video

Honor Magic 5 Pro (5100mAh): live batteria fine ore 23.20