Roskachestvo ha testato le app per il tifo di Capodanno

Le applicazioni a tema per la notte di San Silvestro che creano l’atmosfera del nuovo anno stanno guadagnando popolarità. Più si avvicina la data del Capodanno, più vengono scaricate app con contenuti di intrattenimento. Gli esperti hanno scoperto durante l’audit che il loro download potrebbe non essere sicuro. Gli esperti del Roskatchestvo Digital Expertise Centre ci raccontano cosa hanno scoperto.

ANNO NUOVO – TEMPO DI ATTACCHI INFORMATICI

La pandemia è stata una delle ragioni di un aumento record della criminalità informatica di tutti i tipi, dal phishing tematico agli attacchi informatici diretti a siti web e utenti. Secondo le statistiche del Ministero degli Affari Interni1, la criminalità informatica nella sola Italia è quasi raddoppiata nel 2023. Il download di app attraverso i negozi online anche quelli ufficiali rimane uno dei canali attraverso cui i virus raggiungono i telefoni degli utenti. Secondo uno studio condotto da NortonLifeLock e dall’IMDEA Software Institute2 su 12 milioni di smartphone Android, circa il 67,5% delle app dannose rilevate sono state prelevate dalle vittime direttamente da Google Play Market, mentre solo il 10% proveniva da altri negozi di app. Questo dimostra che nei negozi ufficiali di app, anche se apparentemente sicuri, è facile scaricare un prodotto fraudolento.

Ilya Loevsky, vice capo di Roskachevo.

“Particolari esplosioni di attività illecite sono di solito associate a occasioni di informazione e soprattutto di calendario. Gli utenti dovrebbero essere due volte più attenti a Capodanno, soprattutto quando scaricano applicazioni sconosciute. Le app che compaiono prima del nuovo anno stanno rapidamente scomparendo. E ce ne sono moltissimi. È difficile per un utente sapere di quali app fidarsi e quali non scaricare

APP PER LA VIGILIA DI CAPODANNO: QUELLO CHE STAVATE CERCANDO?

Gli specialisti del Roskatchestvo’s Center for Digital Expertise hanno testato la sicurezza di 120 applicazioni natalizie di Google Play Market, alcune delle quali sono state “prelevate dal fondo” dei negozi. E anche questo numero è una goccia nel mare, perché alcuni sviluppatori hanno decine di app per il conto alla rovescia di Capodanno in una sola categoria. Tuttavia, questo audit ci ha permesso di identificare le tendenze di questo tipo di software, di tenere traccia delle app fraudolente e di stabilire regole di sicurezza digitale di base per l’utilizzo di tali app.

Sono state analizzate tre categorie principali di applicazioni per l’atmosfera di Capodanno: contatori di Capodanno, cornici fotografiche e applicazioni video e sfondi ad esempio un albero di Natale e la neve che cade sullo sfondo .

La revisione dell’app ha analizzato l’accesso richiesto dall’applicazione. In questo caso diverse applicazioni di timer hanno destato i sospetti degli specialisti. Ad esempio, New Year Countdown 2023: New Year Countdown Widget, New Year’s Countdown 2023 e Happy New Year Countdown 2023 richiedono l’accesso completo a Internet e allo stesso tempo l’accesso alla gestione e alla modifica dei file sul disco rigido. Tuttavia, in questi programmi manca la vera funzionalità associata al caricamento di file ad esempio, foto . Il risultato è che la richiesta di tale autorizzazione è una vulnerabilità potenziale e forse intenzionale che sviluppatori senza scrupoli potrebbero sfruttare in qualsiasi momento per infettare i dispositivi degli utenti o rubare i loro dati personali e di pagamento. Meglio non correre rischi e non scaricare.

Ma questo non è il peggio. La più sospetta è stata l’applicazione Timer per il conto alla rovescia di Capodanno, che non solo ottiene l’accesso completo alla rete e la possibilità di visualizzare informazioni in cima a tutte le finestre che viene utilizzata per mostrare in modo invadente i banner pubblicitari , ma spia anche apertamente l’utente: l’applicazione richiede l’accesso alla posizione esatta, allo stato del telefono e agli ID del telefono, nonché ai dati delle chiamate per poter funzionare. Tutti questi strumenti possono essere utilizzati per spiare il dispositivo stalkerware e rubare informazioni. Altre due applicazioni per cornici fotografiche, Happy New Year Photo Frame 2023 e 2023 New Year Photo Frames, richiedono anche l’ID del chiamante – bisogna fare attenzione anche a queste.

Alcune delle applicazioni della categoria Wallpaper si sono rivelate altamente sospette. Sarebbe logico supporre che applicazioni così semplici nella funzionalità debbano richiedere l’autorizzazione a installare lo sfondo e ad accedere al disco rigido del dispositivo per scaricare le immagini al massimo. Ma le applicazioni New Year’s Wallpaper, Christmas Wallpaper e New Year’s Fireworks Live Wallpaper vogliono anche accedere alla posizione, e non solo al GPS, ma anche all’accesso alla rete, al numero di telefono del dispositivo e all’accesso completo alla gestione e alla modifica delle informazioni nella memoria del telefono, che è chiaramente insicura.

NEL NUOVO ANNO SENZA PUBBLICITÀ

I test hanno rivelato la presenza di un gran numero di annunci in tutte le app, che in alcuni casi compaiono su ogni pagina dell’app. In alcuni casi come nel caso della già citata app Timer per il conto alla rovescia di Capodanno l’applicazione, dopo essere stata autorizzata a visualizzare i contenuti in cima a tutte le finestre, mostra costantemente e in modo invasivo banner pubblicitari, vendendo agli inserzionisti la vostra attenzione e il vostro tempo. Questa pratica non è solo scomoda per l’utente, ma anche soggetta a clic accidentali su banner pubblicitari che possono nascondere qualsiasi cosa poiché gli sviluppatori di applicazioni poco conosciute di solito non sono troppo esigenti con l’integrazione pubblicitaria e possono collaborare con veri e propri truffatori, tra gli altri .

Gli esperti hanno anche analizzato le politiche sulla privacy delle applicazioni per cornici fotografiche e per la creazione di video natalizi. Lo sviluppatore Aloha Photo Frame si è distinto in particolare con la sua app Happy New Year Photo Frame 2023: nella sua policy indica la raccolta degli ID dei dispositivi, oltre alla visualizzazione delle chiamate in arrivo e alla lettura dei messaggi di testo. Sembra sgradevole, vero??

La maggior parte delle politiche delle altre app per cornici segue lo stesso schema, raccogliendo e condividendo dati statici ad esempio, l’ID del dispositivo sia con la società di origine che con terzi.

SE VOLETE COMUNQUE SCARICARE UN’APP CHE VI METTA DI BUON UMORE PER IL NUOVO ANNO, OSSERVATE LE SEGUENTI REGOLE:

Scaricare le applicazioni solo dai negozi ufficiali App Store, Google Play Market, AppGallery di Huawei . Non vi terrà al sicuro dalle minacce informatiche, ma riduce il rischio. Prestare attenzione al feedback degli utenti e alle valutazioni delle app, alle risposte degli sviluppatori. Se le recensioni sono negative, le risposte sono scarse e le valutazioni sono basse, è meglio evitare di scaricare l’applicazione.

Dare la preferenza alle applicazioni di sviluppatori noti e con un elevato numero di download

Prestare attenzione agli accessi richiesti dall’applicazione per il nuovo anno. È meglio non correre rischi: se non si capisce perché l’app ha bisogno di queste autorizzazioni, non fornirle.

Nel caso in cui abbiate un iPhone con iOS 14 e l’app cornice richieda l’accesso alla galleria fotografica cosa di per sé normale , fornite l’accesso solo alle foto o ai video che intendete elaborare, non all’intera libreria multimediale. A

Android, purtroppo, le autorizzazioni vengono ancora richieste e rilasciate per tutte le unità di archiviazione sul dispositivo.

Utilizzate sempre un antivirus sui vostri dispositivi, aggiornatelo regolarmente ed eseguite una scansione dei file scaricati.

Non dimenticate di aggiornare sia le applicazioni che il sistema operativo mobile. Gli sviluppatori risolvono regolarmente le vulnerabilità che scoprono e migliorano la qualità delle loro app con ogni aggiornamento.

Queste regole di sicurezza si applicano sia a Google Play che all’App Store.

Rimanete vigili e non scaricate la prima app che vi piace, anche se qualcuno ve la consiglia. Poiché questa categoria di applicazioni rimane “oscura”, se non si è sicuri della propria alfabetizzazione digitale, è meglio evitare del tutto di scaricare queste applicazioni.