Le applicazioni Android pubblicate sul Play Store non possono utilizzare meccanismi di aggiornamento e modifica dei loro componenti diversi da quelli messi a disposizione da Google. In altre parole, è possibile utilizzare esclusivamente il Play Store per l’update delle app Android e nessuna app, una volta installata sui dispositivi degli utenti, è autorizzata a scaricare codice eseguibile (ad esempio file dex, JAR o .so) da sorgente diverse dal Play Store.
In caso di violazione di queste regole (illustrate in questa pagina), gli sviluppatori rischiano l’immediata rimozione delle app dal Play Store.
Dr. Web, nota società russa specializzata nelle soluzioni per la sicurezza informatica, ha scoperto che il popolarissimo UC Browser, nelle varie versioni, attiva il download di componenti aggiuntivi dai server della società sviluppatrice, peraltro senza utilizzare alcuna forma di crittografia: i dati vengono scambiati in chiaro utilizzando il protocollo HTTP.
UC Browser è un browser alternativo che è estremamente popolare e che ad oggi è utilizzato da circa 600 milioni di utenti in tutto il mondo.
I tecnici di Dr. Web hanno voluto mettere in guardia gli utenti di UC Browser dimostrando l’effettiva possibilità di sferrare attacchi man-in-the-middle (MITM): un aggressore, postosi tra il dispositivo dell’utente e i server di UC Browser, può alterare il flusso delle comunicazioni, modificare le informazioni in transito e iniettare codice dannoso.
Come si vede nella dimostrazione di Dr. Web, la procedura di download dei documenti PDF mediante UC Browser è stata modificata portando al caricamento di dati potenzialmente pericolosi (all’apertura del documento viene in questo caso mostrato il messaggio PWNED).
Dr. Web spiega che sia UC Browser che UC Browser Mini, app che al momento sono ancora pubblicate sul Play Store di Google, sono affette dal problema di sicurezza.
Lo stesso approccio è purtroppo utilizzato anche da UC Browser Desktop: installando il software Wireshark (Wireshark, una breve guida all’uso) si vedranno transitare tutti i dati in chiaro.
La libertà di scelta che il Play Store offre è sicuramente encomiabile ma è fondamentale orientarsi su prodotti che offrano sufficienti garanzie in termini di sicurezza: Browser Android: quali sono le alternative da scegliere.