Yandex, la società russa di motori di ricerca e pubblicità, potrebbe raccogliere dati da milioni di utenti iOS e inviarli in Russia.
Yandex e la Russia
Secondo quanto riporta il The Financial Times, il ricercatore di sicurezza Zach Edwards ha scoperto che il codice degli analytics di Yandex è incorporato in 52.000 app per iOS e Android, che insieme raggiungono milioni di utenti in tutto il mondo.
Yandex ha riconosciuto che i dati raccolti tramite la sua API vengono inviati ai server russi. L’azienda ha anche spiegato di seguire un processo molto rigoroso per gestire le richieste di dati provenienti dal governo, come quelle non conformi ai “requisiti procedurali e legali pertinenti“.
Tuttavia, gli esperti di sicurezza avvertono che una volta che i dati sono stati archiviati in Russia, Yandex può fare ben poco per impedire al governo russo di ottenerli. Inoltre, alcuni dei dati raccolti dall’API di Yandex includono metadati che possono essere utilizzati per identificare gli utenti.
“Per le persone con un profilo ad alto rischio o che gestiscono lavori importanti, l’utilizzo di app che inviano questi dati a Mosca è pericoloso e può potenzialmente portare ad attacchi alle reti domestiche o ad altre forme di sorveglianza digitale“, ha affermato Edwards.
Le app che utilizzano questa API includono giochi, servizi di messaggistica, strumenti di condivisione della posizione e “centinaia” di app VPN. Sette delle VPN identificate dai ricercatori si rivolgono esplicitamente a un pubblico ucraino. I download totali di app con l’API raggiungono la cifra di centinaia di milioni.
Yandex ha però difeso il suo tool, paragonandolo a kit di sviluppo simili forniti da Google e altre aziende. Ha inoltre osservato che “non ha mai fornito alcuna informazione sugli utenti di app con AppMetrica installata su di esse, né ci è mai stato chiesto di farlo“.
Apple, da parte sua, afferma che l’API di AppMetrica può essere interrotta tramite App Tracking Transparency, semplicemente non consentendo alle app di tracciarci.
Altre minacce su iPhone e Android
Le notizie sui rischi per gli utenti iOS non finiscono qui. Diversi hacker stanno infatti utilizzando una tecnica efficace e subdola con e-mail rubate dalle forze dell’ordine per trafugare i dati degli utenti da big tech, ISP, corrieri e società di social media.
Più specificamente, gli aggressori si fingono funzionari delle forze dell’ordine per ottenere dati privilegiati di citazione in giudizio. In genere, utilizzano account di posta elettronica compromessi, appartenenti proprio alle forze dell’ordine.
La tattica si basa anche su un tipo di indagine governativa chiamata Emergency Data Request (EDR). Normalmente, le società tecnologiche consegnano i dati degli utenti solo con un mandato o una citazione in giudizio. Tuttavia, le autorità possono presentare un EDR nei casi che comportano la minaccia di danno imminente o morte, aggirando la necessità di documenti approvati dal tribunale.
Secondo i ricercatori, gli hacker hanno scoperto che non esiste un modo semplice per le aziende tecnologiche e le società di social media di verificare se un EDR è legittimo. Tuttavia, questa pratica al momento è circoscritta solo agli Stati Uniti.