Attenti a Flash Keyboard, tastiera gratis che ruba i tuoi dati
Una celebre tastiera di terze parti per dispositivi Android è stata colta con le mani nel sacco dalla società di sicurezza britannica Pentest. Flash Keyboard, questo il suo nome, riproduce banner infetti e comunica con server ignoti in Cina per motivi non meglio specificati. Si tratta di un comportamento che la società, in seguito ad indagini approfondite pubblicate in questo documento, definisce come tipico di un malware, di un software malevolo.
Flash Keyboard è una tastiera gratuita disponibile su Google Play Store e valutata da 700 mila utenti con ben quattro stelline su cinque. Ha un totale di circa 50-100 milioni di download, è “altamente personalizzabile” e con funzionalità che consentono all’utente di scrivere in maniera semplificata. Non mancano l’accesso alle emoji e un thesaurus integrato, tuttavia Pentest identifica il software come “poco più che un malware”.
L’applicazione “abusa” dei permessi Android richiedendo un numero fin troppo elevato di accessi che di fatto non dovrebbero servire ad una tastiera. Flash Keyboard vuole accedere infatti ai dispositivi Bluetooth, alla fotocamera, alla lista dei contatti dell’utente, e a funzionalità legate all’amministrazione del dispositivo. Sebbene possano esserci motivi più o meno solidi alla base di queste richieste, Pentest osserva che sono assolutamente eccessive per le operazioni comuni.
È invece assolutamente preoccupante, senza mezzi termini, il trasferimento di dati segreto verso server stranieri. Fra questi dati ci sono infatti informazioni estremamente sensibili come produttore del dispositivo, numero del modello, IMEI, versione di Android installata e indirizzo e-mail del proprietario. Le informazioni vengono inviate a server, apparentemente statistici, dislocati in vari stati del mondo, fra cui USA, Olanda e Cina.
Flash Keyboard manda anche dettagli sulle reti Wi-Fi connesse e su quelle nelle vicinanze, l’identità della rete mobile utilizzata e le coordinate GPS. Il tutto in maniera ingannevole, secondo Pentest, e in un modo che mette in pericolo gli utenti e la loro privacy. Nella versione gratuita l’applicazione modifica la lock screen predefinita dello smartphone infarcendola di banner pubblicitari e si aggiorna senza informare l’utente. In più, disinstallare l’app dallo smartphone non è semplicissimo.
Secondo la società di sicurezza lo sviluppatore non agisce in maniera volontariamente maliziosa, ma ha semplicemente ignorato e trascurato le politiche di sviluppo su Android stabilite da Google per monetizzare pesantemente l’applicazione, ingannando gli utenti nel processo e mettendoli loro in una posizione a rischio. Nella descrizione dell’app si legge comunque che il team “non colleziona alcun dato personale senza esplicito consenso da parte degli utenti”, assicurandoli quindi della completa sicurezza dell’app.
Ma secondo Pentest la descrizione del team è assolutamente fuorviante, e pare che anche Google sia stata d’accordo con la definizione della società di sicurezza visto che Flash Keyboard è stata rimossa dallo store dopo la notifica ricevuta. Pentest studia l’applicazione dallo scorso mese di febbraio e il caso solleva dubbi riguardo la possibilità che altre applicazioni celebri utilizzino in maniera fraudolenta i permessi conferiti dagli utenti. Flash Keyboard dal mese di febbraio ha fra i 50 e i 100 milioni di utenti, e potrebbe aver raccolto le informazioni personali di tutti coloro che l’hanno scaricata. (fonte)
