23 giugno 2017

Gli analisti dei virus Doctor Web hanno rilevato su Google Play alcune applicazioni potenzialmente pericolose che significano un rischio principalmente per gli utenti sul territorio di Ucraina. Questi programmi permettono di raggirare il blocco dei siti "VKontakte" e "Odnoklassniki", ma lo fanno in un modo non sicuro. Trasmettono attraverso server di terzi e in chiaro i login e le password degli account e inoltre tutto il traffico durante l'utilizzo dei social network, il che può portare a una fuga delle informazioni confidenziali.

A maggio scorso sul territorio di Ucraina attraverso un decreto presidenziale è stato limitato l'accesso ai servizi di una serie di aziende russe, tra cui i social network "VKontakte" e "Odnoklassniki". Questo ha portato a un aumento della popolarità degli strumenti di bypass del blocco, quale il browser Tor, VPN e anonymizer. Inoltre, hanno cominciato a comparire nuovi programmi che forniscono le funzioni analoghe, però non tutti questi nuovi prodotti sono sicuri.

Gli analisti dei virus Doctor Web hanno rilevato su Google Play alcune applicazioni che permettono di usare i siti bloccati di "VKontakte" e "Odnoklassniki". Per entrare in questi social network, ai proprietari dei dispositivi Android viene offerto di indicare le loro credenziali, dopodiché i programmi effettuano l'accesso all'account dell'utente bypassando le restrizioni. Gli specialisti Doctor Web hanno individuato 8 tali programmi che vengono distribuiti dagli sviluppatori JDX Studio, Soukaina Bousfiha, Zikolabs, Boubakri yassir, affzakanab e simon faiz.

Tutte queste applicazione hanno un aspetto molto simile. Si installano sui dispositivi mobili come i programmi con i nomi "VK V Ukraina", "VK Ukraina", "VK Ukraina 2", "OK Ukraina", "Ukraina OK", "VK VPN Ukraina", "VK Ukraina" 2 "VK Ukraina VPN" e hanno icone simili. In totale sono state scaricate da oltre 122.000 utenti, ciascuno di cui corre il rischio di perdita di dati personali.

Il problema è che al fine di bypassare il blocco dei siti dei social network, questi software reindirizzano il traffico attraverso uno degli anonymizer online. Gli anonymizer sono server specializzati che fanno passare attraverso di sé le richieste di rete e inoltre nascondono informazioni sul computer o dispositivo mobile per raggirare limitazioni all'accesso a risorse internet bloccate. Tali servizi sono ricercati, come un esempio, tra gli utenti di reti aziendali in cui gli amministratori hanno vietato a livello del gateway l'accesso ai domini dei social network.

Le credenziali di accesso immesse nei programmi vengono trasmesse a un server anonymizer in chiaro, dunque nulla impedisce ai proprietari di quest'ultimo di utilizzare le informazioni confidenziali per scopi illeciti. Per esempio, possono entrare in un social network con l'account di un utente e alla sua insaputa inviare messaggi, aggiungere amici, unirsi a gruppi, leggere corrispondenza, visualizzare fotografie ecc. Oltre a ciò, l'utente non lo sa che si autentica attraverso un dominio di terzi in quanto nelle applicazioni non viene visualizzata la barra degli indirizzi. Il successivo utilizzo dei siti "VKontakte" e "Odnoklassniki" attraverso questi software anche avviene senza la cifratura, il che permette di controllare tutte le azioni eseguite in questi social network.

Anche se ipotizzeremmo che tale irresponsabile approccio alla protezione di informazioni confidenziali da parte dei proprietari di un anonymizer e degli autori delle applicazioni abbia origine da un errore o dall'ignoranza dei principi della sicurezza informatica, non c'è alcuna garanzia che il traffico di rete non cifrato non venga intercettato dai malfattori.

In quanto l'uso dei programmi sopraindicati può portare alla perdita di informazioni personali, l'antivirus Dr.Web li rileva come le applicazioni potenzialmente pericolose Program.PWS.1. Gli analisti dei virus Doctor Web hanno informato l'azienda Google del fatto che i software sopraindicati portano un rischio di divulgazione di informazioni riservate, però al momento della pubblicazione di questo materiale le app erano ancora disponibili per il download.

Per sottrarsi al rischio, gli utenti delle risorse internet bloccate dovrebbero evitare di utilizzare applicazioni e servizi inattendibili per raggirare le limitazioni all'accesso. Sul mercato esistono soluzioni più sicure che forniscono un livello di sicurezza adeguato. In particolare, VPN commerciali e gratuite (Virtual Network Provider o reti private virtuali) e inoltre server Proxy.

Tutte le versioni conosciute di Program.PWS.1 vengono rilevate dai prodotti antivirus Dr.Web per Android. In quanto questi programmi sono potenzialmente pericolosi, è consigliabile rimuoverli e non utilizzarli fino a quando gli sviluppatori non ne apporteranno le modifiche necessarie.

Informazioni su Program.PWS.1