Il dato più preoccupante non riguarda una singola app, ma l’intero ecosistema. Secondo un’analisi di Cybernews, il 72% delle applicazioni esaminate sul Play Store presenta vulnerabilità riconducibili alla stessa categoria tecnica: gestione insicura di credenziali e chiavi di accesso. Un contesto che rende meno sorprendente quanto accaduto con due app Android finite al centro di un caso di esposizione massiva di dati personali.
L’episodio ha coinvolto applicazioni sviluppate dalla software house Codeway, con milioni di file e informazioni sensibili potenzialmente accessibili senza autenticazione.
Il problema tecnico: hardcoding secrets
Alla base di molte falle c’è la pratica dell’hardcoding secrets, ovvero l’inserimento diretto nel codice dell’app di password o chiavi di cifratura. Quando queste informazioni finiscono in repository pubblici o vengono intercettate tramite scansioni automatiche, bastano pochi secondi perché bot specializzati le individuino e le compromettano.
È uno schema ricorrente: configurazioni cloud errate, chiavi non protette, accessi lasciati aperti. E in un ambiente con milioni di download, l’impatto può diventare sistemico.
Oltre 12 terabyte di contenuti esposti
Uno dei casi riguarda Video AI Art Generator & Maker, applicazione installata oltre 500.000 volte. Secondo quanto riportato da Forbes, un bucket su Google Cloud Storage sarebbe rimasto pubblico, consentendo l’accesso a circa 1,5 milioni di immagini, più di 385.000 video e milioni di file generati con intelligenza artificiale.
Nel complesso, oltre 12 terabyte di dati multimediali sarebbero stati consultabili senza credenziali. Il contenitore avrebbe accumulato file fin dal lancio dell’app, avvenuto nel giugno 2023, superando gli 8 milioni di contenuti archiviati. Dopo le segnalazioni, l’app è stata rimossa dalla visibilità sullo store.
Dati KYC esposti in 26 Paesi
Ancora più delicata la situazione legata a IDMerit, app dedicata alla verifica dell’identità e alla gestione di dati KYC (Know Your Customer). Le informazioni coinvolte riguardavano utenti negli Stati Uniti e in altri 25 Paesi, tra cui Germania, Francia, Cina e Brasile.
Tra i dati potenzialmente accessibili figurano nomi completi, indirizzi, date di nascita, numeri di documenti nazionali, recapiti telefonici, e-mail e metadati sugli operatori mobili. Informazioni che possono alimentare furti di identità e frodi finanziarie. I dati sarebbero stati messi in sicurezza a partire dal 3 febbraio.
Cosa cambia per gli utenti Android
Il punto critico è che questi episodi non rappresentano anomalie isolate. In un contesto dove la maggioranza delle app analizzate mostra vulnerabilità simili, l’utente finale diventa l’ultimo anello della catena di difesa.
Prima di installare un’app, è utile verificare l’affidabilità dello sviluppatore e diffidare di portafogli applicativi composti da decine di prodotti simili pubblicati in tempi ravvicinati. Segnali come consumo anomalo di batteria o surriscaldamento possono indicare comportamenti non trasparenti.
Google mette a disposizione Play Protect, strumento integrato nello store che consente di eseguire scansioni periodiche delle app installate. In un ecosistema dove anche configurazioni errate possono esporre milioni di dati, la prevenzione non è più un’opzione ma una necessità operativa.
