Abbiamo già nominato Will Strafach quando abbiamo parlato di Meitu. Strafach gestisce tra le altre cose un servizio di nome verify.ly: contiene un database di app per dispositivi mobili e segnala il tipo di dati sensibili che raccolgono. Ha scoperto così che 76 app per iOS che utilizzano un sistema chiamato ATS, “App Transport Security” possono essere ingannate e usare una connessione non sicura. ATS è una funzionalità introdotta in iOS 9 che obbligherebbe tutte le app a usare il protocollo HTTPS anziché HTTP, meno sicuro. Il problema – e non è tecnicamente un bug di Apple, tra le altre cose – è che un hacker potrebbe intercettare la connessione e ottenere i dati scambiati dal dispositivo al server.
Strafach ha suddiviso le app in base al rischio, pubblicando online l’elenco di quelle a basso rischio, dal momento che i dati intercettabili sono davvero poca cosa (informazioni riguardo il dispositivo utilizzato, oppure dati di login ma incompleti di password). Le restanti 43 app sono classificate di rischio medio o elevato, dal momento che i dati in questione sono interi token di accesso oppure dati sensibili di natura finanziaria o medica. Strafach non ha intenzione di pubblicare la lista di queste app prima di aver contattato le banche, gli istituti medici e in generale gli sviluppatori interessati.
Nella lista di app a basso rischio ne troviamo diverse che riguardano Snapchat (piattaforma che Strafach aveva dichiarato poco “sicura” già l’anno scorso), un’app per codici QR e codici a barre, alcune VPN e un paio di app di banche.
Due consigli per essere un po’ più protetti: usare una VPN (stando attenti a quelle che si spacciano per sicure e invece sono dei groviera), o in alternativa usare la rete cellulare del vostro telefono: per quanto sia possibile intercettare comunque questo tipo di connessione, è discretamente più complicato.