Cerca nel blog

2019/03/29

App di sorveglianza colabrodo: Family Locator


Family Locator, un’app di sorveglianza per famiglie, disponibile per i dispositivi iOS, aveva una falla micidiale: pubblicava la geolocalizzazione in tempo reale di circa 240.000 utenti. Come se non bastasse, il produttore dell’app non rispondeva alle segnalazioni della falla.

L’app è concepita per consentire per esempio a un genitore di sapere quando il figlio arriva a scuola o a un figlio di sapere se il genitore è arrivato in ufficio o è tornato a casa: il suo intento sarebbe dare sicurezza e tranquillità alle famiglie che la usano, ma il risultato è stato esattamente contrario.

I dati degli utenti venivano infatti accumulati in un database MongoDB non protetto, ospitato maldestramente nel cloud e quindi facilmente reperibile con un motore di ricerca specializzato come Shodan, e venivano custoditi (si fa per dire) senza cifratura. Nel database c’erano non solo le coordinate geografiche ma anche le foto di profilo, il nome, l’indirizzo di mail e la password di ciascun utente.

In altre parole, nota Naked Security, chiunque accedesse a questo database poteva sapere che aspetto aveva “vostra figlia tredicenne, dove si trovava in tempo reale, il suo nome, il suo indirizzo di mail, il suo indirizzo di casa, l’indirizzo della sua scuola e il suo percorso da casa a scuola e viceversa”.

La falla è stata scoperta da Sanyam Jain della GDI Foundation. La società australiana che gestisce Family Locator non ha risposto alle prese di contatto e quindi il sito di notizie informatiche TechCrunch ha contattato Microsoft, che ospitava il database, ed è riuscito a farlo rendere irraggiungibile via Internet.

Nessun commento: