Windows 10, queste PWA su Microsoft Store minavano criptovalute senza permesso

Windows 10, queste PWA su Microsoft Store minavano criptovalute senza permesso

Symantec ha scoperto almeno otto applicazioni su Microsoft Store che utilizzavano le risorse di sistema per eseguire il mining di Monero senza richiedere alcun permesso all'utente

di pubblicata il , alle 16:01 nel canale Sistemi Operativi
MicrosoftWindows
 

Per via della struttura a sandbox tipica delle app presenti, Microsoft Store di Windows 10 viene considerato un servizio sicuro da cui prelevare le app e installarle sul proprio sistema. La stessa Microsoft ha lanciato un'edizione del sistema operativo, Windows 10 S, che consente di installare app solo attraverso lo Store per offrire il più ampio livello di sicurezza.

Sembra però che, come avvenuto su altri store considerati sicuri, alcune app fraudolente abbiano oltrepassato le maglie protettive di Microsoft. Ad annunciarlo è Symantec all'interno di un post nel blog ufficiale: la società di sicurezza americana ha dettagliato con precisione il modo in cui ha scovato almeno otto applicazioni gratuite, adesso comunque rimosse da Microsoft, che utilizzavano le risorse della CPU per minare criptovalute senza richiedere alcun permesso.

Le app operavano in background, prendendo di mira non solo le installazioni standard di Windows 10, ma anche quelle in Modalità S. Stando alle diciture presenti nello store i software appartengono a tre sviluppatori differenti, tuttavia le indagini di Symantec hanno portato a credere che le app siano state sviluppate dalla stessa persona o dallo stesso team di sviluppo. Di seguito le parole della compagnia liberamente tradotte in lingua italiana:

"Non appena le app vengono scaricate e lanciate, recuperano una libreria JavaScript per il mining di monete utilizzando il Google Tag Manager (GTM) nei loro server di dominio. Lo script di mining poi viene attivato e utilizza una grossa parte della capacità di calcolo della CPU per eseguire il mining di Monero a vantaggio degli operatori. Le app sembrano fornire una politica per la privacy dell'utente, tuttavia non c'è alcuna menzione della funzione di mining di criptovalute nelle descrizioni sullo Store.

Quando ogni app viene eseguita il dominio viene visitato in maniera invisibile in background e lanca il GTM con la chiave GTM-PRFLJPX, la stessa in tutte le otto app fraudolente scoperte".

Come scrive ancora una volta Symantec, GTM è uno strumento legittimo che serve agli sviluppatori per inserire JavaScript in modo dinamico nelle app durante la fase di programmazione. È tuttavia possibile abusare delle sue funzionalità per nascondere feature dannose o comunque del tutto invisibili per l'utente. Secondo Synamtec, inoltre, tutte le app usano la stessa libreria JavaScript per eseguire il mining di Monero, Crypta.js, che viene attivata utilizzando lo strumento di Google. Le otto applicazioni sono state pubblicate da tre account attraverso gli sviluppatori DigiDream, 1clean e findoo, e apparentemente rappresentavano diverse categorie di software del tutto slegate.

È doveroso notare che tutte le app in questione erano delle Progressive Web App (PWA), iniziativa lanciata su Microsoft Store lo scorso mese di aprile, e le prime app fraudolente indicate da Symantec sono state lanciate proprio in quel periodo ricevendo oltre 1900 recensioni. Non è chiaro però quante di queste siano davvero legittime, e quante siano state commissionate dallo stesso team di sviluppo. Symantec ha segnalato la presenza delle otto app lo scorso 17 Gennaio e Microsoft le ha prontamente eliminate dallo Store, tuttavia quanto accaduto fa certamente sorgere qualche dubbio sulla presenza di altre app fraudolente e sulle reali capacità delle maglie protettive di Microsoft applicate allo Store.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Jammed_Death18 Febbraio 2019, 16:28 #1
ormai se vedo un app con tube, +, battery, optimizer, downloader, fast, search non la installo a prescindere...fino ad ora questo modo di fare mi ha salvato da svariate infezioni di questo tipo, comprese quelle su smartphone.
LordPBA19 Febbraio 2019, 11:35 #2
Un altro motivo per tenermi stretto il mio Lumia950
ivoermejo21 Febbraio 2019, 08:40 #3
peccato che nella foto dell'articolo che sta girando su questo argomento sembra esserci il mio notebook Lenovo... vuol dire che sono infettato pure io anche se uso openSUSE ?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^