Oltre 400 app Android ed iOS hanno rubato 1 milione di password Facebook

Vito Laminafra
Vito Laminafra
Oltre 400 app Android ed iOS hanno rubato 1 milione di password Facebook

Facebook non è solo uno dei social network più popolari e utilizzati al mondo, ma anche un "metodo d'accesso" per tantissimi siti web o applicazioni: vi sarà infatti sicuramente capitato di registrarvi ad un servizio e vedere l'opzione per registrarsi utilizzando i dati già salvati su Facebook. Questo metodo, per quanto veloce, può però non essere sicuro se non si presta la massima attenzione.

Offerte Amazon

Un team di Facebook che si occupa di sicurezza informatica ha infatti individuato più di 400 app, presenti sia su App Store che su Play Store, che effettuavano attacchi di phishing utilizzando proprio il celebre pulsante "Login con Facebook" di cui vi abbiamo parlato prima come "esca" per rubare i dati (soprattutto password).

Le app in questione, ovviamente prontamente rimosse dagli store, erano di diverso tipo:

  • Editor di foto, compresi quelli che affermano di "trasformarti in un cartone animato" (quasi il 50% delle app individuate era di questo tipo)
  • VPN che affermano di aumentare la velocità di navigazione o di concedere l'accesso a contenuti o siti Web bloccati
  • Utility come le app della torcia
  • Giochi che promettono una grafica 3D di alta qualità
  • App per la salute e per lo "stile di vita", come oroscopi e fitness tracker
  • App aziendali o per la gestione degli annunci che affermano di fornire funzionalità nascoste o non autorizzate

Il funzionamento degli attacchi era davvero semplice: per utilizzare l'app, era richiesto obbligatoriamente agli utenti di registrarsi utilizzando il pulsante Login con Facebook.

Questo pulsante però non era quello ufficiale (che ovviamente è sicuro, visto che i dati non passano da server di terze parti), ma una copia che indirizzava gli utenti verso una pagina fasulla che emulava però il sito web di Facebook. I dati inseriti in questa pagina, ovvero nome utente e password di Facebook, finivano direttamente nelle mani dei malintenzionati che avevano creato l'app.

L'unico modo per difendersi da questo attacco è quello di prestare la massima attenzione durante l'utilizzo di qualsiasi app, anche quelle scaricate da store tendenzialmente affidabili: in basso trovate degli esempi di pulsanti fasulli da cui stare alla larga. In linea generale, bisogna diffidare da app che richiedono il login anche per funzionalità base o che non offrono le feature promesse.

Su WhatsApp le breaking news tech!
Solo il meglio della tecnologia
Seguici