L’app horror Chilling terrorizzata dalle proprie falle di sicurezza
Ehi ragazzi, vi piacciono le storie dell’orrore? Beh, abbiamo una bella storia fresca fresca per voi, e vi assicuriamo che è più spaventosa di qualsiasi cosa possiate trovare sull’app Chilling. Preparatevi, perché questa è una storia di permessi troppo laschi, dati che sgorgano come sangue da una ferita e sviluppatori che dormono sonni tranquilli mentre i loro server urlano nel buio.
La trama si infittisce
Per nove mesi – il tempo di una gravidanza demoniaca – l’app Chilling ha lasciato esposto il suo file di configurazione dell’ambiente (.env). Questo file è il Santo Graal per gli hacker, contenente le chiavi del regno: credenziali di database, chiavi AWS private e certificati SSL. Praticamente, hanno lasciato le chiavi di casa sotto lo zerbino con un cartello luminoso che diceva “Ladri, accomodatevi!”.
Pillola tecnica: I file .env sono usati per memorizzare variabili d’ambiente e credenziali. Dovrebbero essere protetti come il vostro firstogenito durante un’apocalisse zombie.
I protagonisti della nostra storia horror
- Chilling: Un’app con oltre 100.000 download su Google Play, fondata da due amici “le cui vite sono state plasmate dal genere Horror”. Ironia della sorte, ora stanno vivendo il loro personale film dell’orrore cybersecurity.
- I dati esposti: Credenziali per database chiamati ‘prod_users’, ‘video’, ‘story’ e altri. Chiavi AWS, nomi di bucket e, ciliegina sulla torta, la chiave privata SSL. Un vero e proprio buffet per hacker affamati.
Lo sviluppo della trama
Secondo la dichiarazione di Data Safety su Google Play Store, Chilling non raccoglie né condivide dati degli utenti. Ah, che dolce innocenza! Peccato che le credenziali esposte raccontino una storia diversa, con quel database ‘prod_users’ che fa l’occhiolino malizioso.
Pillola tecnica: Le app su Google Play devono dichiarare quali dati raccolgono. Ma come in ogni buon horror, le apparenze ingannano.
E non dimentichiamoci dei permessi richiesti dall’app: leggere, modificare o cancellare i contenuti dello storage, scattare foto e video, visualizzare connessioni WiFi e di rete, o disegnare sopra altre app. Praticamente, Chilling chiede il permesso di possedere il vostro dispositivo come un demone farebbe con una casa infestata.
Il colpo di scena
La parte più terrificante? Questa falla è rimasta aperta per nove mesi, indicizzata dai motori di ricerca come un invito a nozze per i malintenzionati. È come lasciare la porta di casa spalancata mentre si è in vacanza, con un cartello “Ladri, fate pure con comodo”.
Il finale… o è solo l’inizio?
Il 18 luglio 2024, il file .env sembra essere stato finalmente chiuso. Ma il danno è fatto, e chissà quanti occhi malevoli hanno già sbirciato nei segreti di Chilling.
Morale della favola
- Per gli utenti: Prima di scaricare un’app, controllate sempre i permessi richiesti. Se un’app per raccontare storie vuole accesso alla vostra fotocamera, forse la vera storia dell’orrore è l’app stessa.
- Per gli sviluppatori: Proteggete i vostri file .env come se la vostra vita dipendesse da questo. Perché, in un certo senso, è così.
- Per tutti: La cybersecurity non è un gioco. Un singolo errore può trasformare la vostra tranquilla esistenza digitale in un film dell’orrore che dura mesi.
Ricordate: nel mondo della sicurezza informatica, non esiste l’autocorrezione. Un errore può lasciare le porte spalancate agli attaccanti per mesi. E credetemi, quegli attaccanti non busseranno gentilmente prima di entrare.
Quindi, la prossima volta che scaricate un’app per spaventarvi un po’, assicuratevi che il vero spavento non arrivi dalla sua sicurezza… o dalla mancanza di essa.