Home Tecnologia Migliaia di app per iPhone espongono i dati all’interno dell’Apple App Retailer

Migliaia di app per iPhone espongono i dati all’interno dell’Apple App Retailer

By
Rosario D'Amico
-
61
0

NUOVOOra puoi ascoltare gli articoli di Fox Information!

Apple promuove spesso l’App Retailer come luogo sicuro per scaricare app. L’azienda evidenzia revisioni rigorose e un sistema chiuso come protezioni chiave per gli utenti di iPhone. Quella reputazione ora deve affrontare seri interrogativi.

Una nuova ricerca mostra che migliaia di app iOS approvate da Apple contengono difetti di sicurezza nascosti. Questi difetti possono esporre i dati degli utenti, l’archiviazione nel cloud e persino i sistemi di pagamento.

Il problema non è il malware; si tratta di pratiche di sicurezza scadenti inserite direttamente nel codice dell’app.

Iscriviti per ricevere il mio report GRATUITO su CyberGuy
Ricevi i miei migliori consigli tecnici, avvisi urgenti sulla sicurezza e offerte esclusive direttamente nella tua casella di posta. Inoltre, avrai accesso immediato alla mia Guida definitiva alla sopravvivenza alle truffe, gratuitamente quando ti iscrivi a my CYBERGUY.COM notiziario.

APPLE AVVERTE MILIONI DI IPHONE SONO ESPOSTI AD ATTACCHI

I ricercatori di Cybernews hanno scoperto che molte app iOS archiviano segreti sensibili direttamente all’interno dei file delle app, da dove possono essere facilmente estratti. (Kurt “CyberGuy” Knutsson)

Cosa hanno scoperto i ricercatori nelle app iOS

I ricercatori di sicurezza di Cybernews, una società di ricerca sulla sicurezza informatica, hanno analizzato il codice di oltre 156.000 app per iPhone. Ciò rappresenta circa l’8% di tutte le app disponibili in tutto il mondo.

Ecco cosa hanno trovato:

  • Oltre 815.000 segreti nascosti nel codice dell’app
  • Una media di cinque segreti per app
  • Il 71% delle app ha fatto trapelare almeno un segreto

Questi segreti includono password, chiavi API e token di accesso. Gli sviluppatori li inseriscono direttamente nelle app, dove chiunque può estrarli. Secondo il ricercatore di Cybernews Aras Nazarovas, ciò rende il lavoro degli aggressori molto più semplice di quanto la maggior parte degli utenti creda.

Quali sono i segreti hardcoded in termini semplici?

Un segreto hardcoded è costituito da informazioni sensibili salvate direttamente all’interno di un’app anziché essere protette su un server sicuro. Immagina di scrivere il PIN della tua banca sul retro della tua carta di debito. Una volta che qualcuno scarica l’app, può ispezionarne i file ed estrarre quei segreti. Gli aggressori non hanno bisogno di accessi speciali o di strumenti di hacking avanzati. Sia la Cybersecurity and Infrastructure Safety Company che il Federal Bureau of Investigation avvertono gli sviluppatori di non farlo. Eppure sta accadendo su vasta scala.

Le perdite di spazio di archiviazione nel cloud hanno esposto enormi quantità di dati

Uno dei problemi più seri riguarda l’archiviazione nel cloud. Più di 78.000 app iOS contenevano collegamenti diretti a bucket di archiviazione cloud. Questi bucket archiviano file come foto, documenti, ricevute e backup. In alcuni casi non period richiesta alcuna password. I ricercatori hanno scoperto:

  • 836 bucket di storage sono completamente aperti al pubblico
  • Oltre 76 miliardi di file esposti
  • Più di 406 terabyte di dati trapelati

Questi dati includevano caricamenti degli utenti, dettagli di registrazione, registri delle app e document privati. Chiunque sapesse dove cercare poteva visualizzarlo o scaricarlo.

APPLE CORREGGE DUE DIFETTI ZERO-DAY UTILIZZATI IN ATTACCHI MIRATI

Un grafico a barre dei 20 principali segreti trapelati nelle app iOS

Questo grafico mostra i tipi più comuni di segreti hardcoded presenti nelle app iOS, con le chiavi relative a Google che appaiono più spesso, secondo la ricerca di Cybernews. (Cybernotizie)

Anche i database Firebase sono stati lasciati aperti

Molte app iOS si affidano a Google Firebase per archiviare i dati degli utenti. Cybernews ha trovato più di 51.000 collegamenti al database Firebase nascosti nel codice dell’app. Mentre alcuni erano protetti, oltre 2.200 non disponevano di autenticazione. Quello esposto:

  • Quasi 20 milioni di document di utenti
  • Messaggi, profili e registri delle attività
  • Database che sono per lo più ospitati negli Stati Uniti

Se un database Firebase non è bloccato, gli aggressori possono sfogliare i dati degli utenti come un sito Net pubblico.

Anche i sistemi di pagamento e di accesso erano a rischio

Alcuni dei segreti trapelati erano molto più pericolosi delle analisi o degli annunci pubblicitari. I ricercatori hanno scoperto chiavi segrete per:

  • Stripe, che gestisce pagamenti e rimborsi
  • Sistemi di autenticazione JWT che controllano gli accessi
  • Strumenti di gestione degli ordini utilizzati dalle app per lo buying

Una chiave segreta Stripe trapelata può consentire agli aggressori di emettere rimborsi, spostare denaro o accedere ai dettagli di fatturazione. Le chiavi di accesso trapelate possono consentire agli aggressori di impersonare utenti o assumere il controllo degli account.

L’intelligenza artificiale e le app social sono state tra i peggiori trasgressori

Alcune delle app con le maggiori fughe di notizie riguardavano l’intelligenza artificiale. Secondo VX Underground, la società di sicurezza CovertLabs ha identificato 198 app iOS che perdono dati degli utenti. Il caso peggiore noto è stato Chat & Ask AI di Codeway. I ricercatori affermano che ha esposto cronologie di chat, numeri di telefono e indirizzi e-mail legati a milioni di utenti. Secondo quanto riferito, un’altra app, YPT – Examine Group, ha fatto trapelare messaggi, ID utente e token di accesso. CovertLabs tiene traccia di questi incidenti in un archivio limitato chiamato Firehound. L’elenco completo delle app interessate non è stato rilasciato pubblicamente e i ricercatori affermano che i dati sono limitati per prevenire ulteriori esposizioni e per dare agli sviluppatori il tempo di correggere i difetti di sicurezza.

LE ESTENSIONI DANNOSE DI GOOGLE CHROME DIROTTA GLI ACCOUNT

Righe di codice che potrebbero contenere informazioni riservate

Questo esempio mostra come le chiavi sensibili come le credenziali API di Google e i segreti di pagamento Stripe possono essere archiviate direttamente nei file di un’app iOS, dove sono facili da estrarre. (Cybernotizie)

Perché la revisione dell’app di Apple può trascurare i rischi nascosti per la sicurezza

Apple esamina le app prima che vengano visualizzate nell’App Retailer. Tuttavia, il processo di revisione non esegue la scansione del codice dell’app alla ricerca di segreti nascosti. Se un’app si comporta normalmente durante il check, può superare la revisione anche se le chiavi sensibili sono sepolte nei suoi file. Ciò crea un divario tra le affermazioni di sicurezza di Apple e i rischi del mondo reale. Rimuovere i segreti trapelati non è semplice per gli sviluppatori. Devono revocare le vecchie chiavi, crearne di nuove e ricostruire parti delle loro app. Ciò può interrompere le funzionalità e ritardare gli aggiornamenti. Anche se Apple afferma che la maggior parte degli aggiornamenti delle app vengono esaminati entro 24 ore, alcuni aggiornamenti richiedono settimane. Durante questo periodo, le app vulnerabili possono rimanere disponibili.

CyberGuy ha contattato Apple per un commento, ma non ha ricevuto risposta prima della pubblicazione.

Modi per stare al sicuro in questo momento

Non è possibile ispezionare facilmente un’app alla ricerca di segreti nascosti. Apple non fornisce strumenti per questo. Tuttavia, puoi ridurre il rischio e limitare l’esposizione essendo selettivo e cauto. Questi passaggi aiutano a ridurre il rischio se un’app perde dati dietro le quinte.

1) Attenersi agli sviluppatori di app affermati

Gli sviluppatori più noti tendono advert avere crew di sicurezza più forti e pratiche di aggiornamento migliori. Le app più piccole o sconosciute potrebbero affrettare il lancio delle funzionalità sul mercato e trascurare le basi della sicurezza. Prima di scaricare, controlla da quanto tempo è attivo lo sviluppatore e con quale frequenza viene aggiornata l’app.

2) Controlla e limita le autorizzazioni dell’app

Molte app richiedono un accesso maggiore del necessario. Posizione, contatti, foto e accesso al microfono aumentano il rischio di perdite di dati. Vai nelle impostazioni del tuo iPhone e rimuovere i permessi che non sono essenziali per il funzionamento dell’app.

3) Elimina le app che non usi più

Le app inutilizzate mantengono comunque l’accesso ai dati condivisi in passato. Possono anche memorizzare informazioni su server remoti molto tempo dopo aver smesso di aprirli. Se non usi un’app da mesi, rimuovila. Ecco come: Apri Impostazionirubinetto Generaleseleziona Archiviazione dell’iPhonee scorri l’elenco delle app per vedere quando è stata utilizzata l’ultima volta. Tocca qualsiasi app che non ti serve più e seleziona Elimina app per rimuoverlo e ridurre l’esposizione continua dei dati.

4) Sii cauto con i dettagli personali e finanziari

Evitare di inserire dati sensibili a meno che non sia assolutamente necessario. Ciò embody nomi completi, indirizzi, dettagli di pagamento e conversazioni non-public. Le app AI sono particolarmente rischiose se condividi contenuti profondamente personali.

5) Utilizza un gestore di password per ogni account

Un gestore di password crea password complesse e univoche per ogni app e servizio. Ciò impedisce agli aggressori di accedere a più account se un’app perde dati. Non riutilizzare mai le password legate al tuo indirizzo electronic mail.

Successivamente, controlla se la tua electronic mail è stata esposta in violazioni passate. Il nostro gestore di password numero 1 embody uno scanner di violazioni integrato che controlla se il tuo indirizzo electronic mail o le tue password sono apparsi in fughe di notizie notice. Se scopri una corrispondenza, modifica immediatamente le password riutilizzate e proteggi tali account con credenziali nuove e univoche.

Scopri i migliori gestori di password del 2026 recensiti da esperti su Cyberguy.com.

6) Modificare le password legate alle app esposte

Se un’app utilizza il tuo indirizzo electronic mail per l’accesso, modifica immediatamente la password. Fallo anche se non c’è conferma di una violazione. Gli aggressori spesso testano le credenziali trapelate su altri servizi.

7) Considera l’utilizzo di un servizio di rimozione dati

Alcuni dati trapelati finiscono nelle mani di dealer di dati che vendono informazioni personali on-line. Un servizio di rimozione dati può aiutarti a trovare e rimuovere i tuoi dettagli da questi database. Ciò riduce la possibilità che i dati delle app esposti vengano riutilizzati per truffe o furti di identità.

Sebbene nessun servizio possa garantire la rimozione completa dei tuoi dati da Web, un servizio di rimozione dati è davvero una scelta intelligente. Non sono economici e nemmeno la tua privateness. Questi servizi fanno tutto il lavoro per te monitorando attivamente e cancellando sistematicamente le tue informazioni personali da centinaia di siti internet. È ciò che mi dà tranquillità e ha dimostrato di essere il modo più efficace per cancellare i tuoi dati personali da Web. Limitando le informazioni disponibili, riduci il rischio che i truffatori incrocino i dati delle violazioni con le informazioni che potrebbero trovare sul darkish internet, rendendo più difficile per loro prenderti di mira.

Dai un’occhiata alle mie migliori scelte per i servizi di rimozione dati e ottieni una scansione gratuita per scoprire se le tue informazioni personali sono già disponibili sul Net visitando Cyberguy.com.

Ottieni una scansione gratuita per scoprire se le tue informazioni personali sono già presenti sul internet: Cyberguy.com.

8) Monitora i tuoi account per attività insolite

Controlla le e-mail impreviste, gli avvisi di reimpostazione della password, gli avvisi di accesso o le conferme di pagamento. Questi possono segnalare che i dati trapelati sono già oggetto di abuso. Agisci rapidamente se qualcosa sembra strano.

9) Sospendere l’uso di app rischiose di intelligenza artificiale e chat

Se utilizzi app AI per conversazioni non-public, valuta la possibilità di interrompere l’utilizzo finché lo sviluppatore non conferma le correzioni di sicurezza. Una volta esposti, i dati non possono essere ritirati. Evita di condividere dettagli sensibili con app che archiviano le conversazioni in remoto.

I punti salienti di Kurt

L’App Retailer di Apple offre ancora protezioni importanti, ma questa ricerca mostra che non è infallibile. Molte app affidabili per iPhone espongono silenziosamente i dati a causa di errori di sicurezza di base. Fino a quando le recensioni delle app non miglioreranno, devi stare attento e limitare la quantità di dati che condividi.

Quante app sul tuo iPhone hanno accesso a informazioni che non vorresti fossero esposte? Fatecelo sapere scrivendoci a Cyberguy.com.

CLICCA QUI PER SCARICARE L’APP FOX NEWS

Iscriviti per ricevere il mio report GRATUITO su CyberGuy
Ricevi i miei migliori consigli tecnici, avvisi urgenti sulla sicurezza e offerte esclusive direttamente nella tua casella di posta. Inoltre, avrai accesso immediato alla mia Guida definitiva alla sopravvivenza alle truffe, gratuitamente quando ti iscrivi a my CYBERGUY.COM notiziario.

Copyright 2026 CyberGuy.com. Tutti i diritti riservati.

Kurt “CyberGuy” Knutsson è un pluripremiato giornalista tecnologico che nutre un profondo amore per la tecnologia, le attrezzature e i gadget che migliorano la vita con i suoi contributi per Fox Information e FOX Enterprise a partire dalle mattine su “FOX & Mates”. Hai una domanda tecnica? Ricevi la publication gratuita CyberGuy di Kurt, condividi la tua voce, un’concept per una storia o commenta su CyberGuy.com.

fonte

RELATED ARTICLESMORE FROM AUTHOR