Facebook su Android raccoglie contatti telefonici in modo illecito

Facebook su Android raccoglie contatti telefonici in modo illecito

Con Norton Mobile Security e le tecnologie Norton Mobile Insight Symantec ha rilevato un traffico anomalo relativo all'utilizzo della app di Facebook su terminale Android

di pubblicata il , alle 14:01 nel canale Sicurezza
AndroidSymantec
 

Alcuni giorni fa è stato portato alla luce un problema non di poco conto relativo alla app Facebook per Android: all'insaputa dell'utente durante le fasi di avvio della app vengono raccolti tutti i contatti telefonici presenti sul terminale e inviati ai server di Facebook.

La scoperta è stata fatta da Symantec con una nuova versione di Norton Mobile Security e Facebook è stata prontamente informata della situazione. Da Menlo Park è poi giunta conferma del problema e il rilascio di una versione beta della app in cui viene risolto il bug; è prevista la disponibilità di una versione aggiornata su Google Play entro pochi giorni.

Symantec è stata insospettita da un anomalo traffico di dati tra il terminale e i server di Facebook nel momento in cui la app veniva avviata; successive indagini hanno poi evidenziato la natura di tale traffico. Facebook ha già dichiarato di non aver raccolto volontariamente tali dati e di aver provveduto all'eliminazione di tutti i dati erroneamente raccolti.

A rendere preoccupante la situazione è il numero di utenti che quotidianamente utilizzano questa app: i dati ufficiali parlano di 7,4 milioni di download effettuati dal Google Play. Alcune fonti online approfittano della situazione per evidenziare altre situazioni anomale che però nel caso specifico vengono ufficialmente dichiarate da Facebook e accettate dall'utente nel momento in cui la app viene installata.

A questa pagina ad esempio possiamo leggere chiaramente:

CHIAMATA DIRETTA N. TELEFONO Consente all'app di chiamare numeri di telefono senza il tuo intervento. Ciò può comportare chiamate o addebiti imprevisti. Tieni presente che questa autorizzazione non consente all'app di chiamare numeri di emergenza. Le app dannose potrebbero generare dei costi effettuando chiamate senza la tua conferma.

RECUPERO APPLICAZIONI IN ESECUZIONE Consente all'app di recuperare informazioni sulle attività attualmente e recentemente in esecuzione. Questa autorizzazione potrebbe consentire all'app di scoprire informazioni sulle app in uso sul dispositivo.

LETTURA CONTATTI PERSONALI Consente all'app di leggere i dati relativi ai contatti memorizzati sul dispositivo, inclusa la frequenza con cui hai effettuato chiamate, inviato email o comunicato in altri modi con persone specifiche. Questa autorizzazione consente alle app di salvare i dati dei contatti e le app dannose potrebbero condividere tali dati a tua insaputa.

Ragionando su queste autorizzazioni e sul funzionamento della app è possibile ridimensionare in parte il problema, infatti pur offrendo ampio accesso e autonomia all'applicazione queste autorizzazioni sono necessarie per garantire un utilizzo più semplice del servizio e, soprattutto, vengono dichiarate a priori dall'azienda. Purtroppo l'utente non presta attenzione a questi dettagli e se anche lo fa è disposto ad accettarne le conseguenze non avendo altra soluzione o alternativa.

Il problema sollevato da Symantec è però più grave, infatti quanto fatto dalla app non sarebbe autorizzato dall'utente e, dettaglio ancor più importante, il traffico anomalo avverrebbe prima del login esponendo al potenziale rischio anche chi pur non avendo un account Facebook si trova la app preinstallata sul dispositivo.

Symantec ha dichiarato che anche su altre applicazioni sono stati osservati comportamenti anomali e a breve l'azienda di sicurezza californiana promette un elenco completo di dettagli. Il fatto rilevato nei giorni scorsi dovrebbe far riflettere sui rischi connessi all'utilizzo di uno smartphone e alla gestione dei dati su esso memorizzati, rischi più o meno noti o sconosciuti, ma il più delle volte non considerati.

Da parte delle principali società che si occupano di sicurezza è da tempo che giungono segnali di allerta, in particolare per i terminali Android per i quali si fa riferimento a malware o ad applicazioni sviluppate in modo tale da raccogliere informazioni in modo illecito.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

19 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
songohan03 Luglio 2013, 14:18 #1
Ma come si fa a chiamare BUG o PROBLEMA un comportamento del genere? Qualcuno deve PER FORZA aver scritto del codice allo scopo! Non è che l'app si scrive da sola oppure ops! le routine saltano fuori da sole!
Rubberick03 Luglio 2013, 14:21 #2
Originariamente inviato da: songohan
Ma come si fa a chiamare BUG o PROBLEMA un comportamento del genere? Qualcuno deve PER FORZA aver scritto del codice allo scopo! Non è che l'app si scrive da sola oppure ops! le routine saltano fuori da sole!


infatti
hermanss03 Luglio 2013, 14:25 #3
quoto!!!
calabar03 Luglio 2013, 14:34 #4
Ma un risarcimento ad ogni utente i cui dati sono stati saccheggiati tale da far passare la voglia di mettere in atto comportamenti di questo tipo?

Comunque vedo che NMS a qualcosa serve!
Rubberick03 Luglio 2013, 14:45 #5
Originariamente inviato da: calabar
Ma un risarcimento ad ogni utente i cui dati sono stati saccheggiati tale da far passare la voglia di mettere in atto comportamenti di questo tipo?

Comunque vedo che NMS a qualcosa serve!


nms?
gd350turbo03 Luglio 2013, 14:47 #6
Originariamente inviato da: Rubberick
nms?


Norton Mobile Security
Rubberick03 Luglio 2013, 14:48 #7
Originariamente inviato da: gd350turbo
Norton Mobile Security


ah pensavo fosse qualcosa come LBE Privacy... quello che blocca come vuoi tu i permessi di esecuzione selettivamente a tutte le app ^^
cignox103 Luglio 2013, 14:52 #8
Concordo. L'unica possibilitá che vedo perché questo comportamento fosse involontario é che era stato scritto per ragioni di debug, o che sia stato scritto prima di consultare l'avvocato, e che per qualche ragione la disattivazione non abbia funzionato. Ma coma hanno fatto ad accorgersi che ricevevano tutti quei dati ad ogni avvio dell'applicazione? Se hanno eliminato i dati memorizzati, avranno avuto una tabella da qualche parte, come abbia fatto a crescere senza che nessuno se ne accorgesse é un mistero.

Di norma cerco di non essere prevenuto. Da programmatore, secondo me hanno fatto i furbi e sono stati beccati.
Floris03 Luglio 2013, 15:02 #9
Beh che dire...sconcertante.
Da Menlo Park è poi giunta conferma del problema e il rilascio di una versione beta della app in cui viene risolto il bug

Non ho parole!
Facebook ha già dichiarato di non aver raccolto volontariamente tali dati e di aver provveduto all'eliminazione di tutti i dati erroneamente raccolti.

Sarei proprio curioso di leggere una qualche dichiarazione pubblica in cui si spiega il comportamento di tale "bug" e come possa spedire inconsapevolmente dati dell'utente ed inoltre memorizzarli da qualche parte!
wal7er03 Luglio 2013, 15:13 #10
Quando fanno una query sulla tabella giurano che chiudono gli occhi per non vedere i risultati.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^