Come si verifica:
Di tanto in tanto all'interno delle pagine del forum visualizzato tramite l'applicativo Tapatalk, tra un messaggio e l'altro vengono allocati degli spazi all'interno dei quali vengono mostrati banner pubblicitari voluti dagli sviluppatori e quindi fuori dal controllo del forum letto. In pratica questi piccoli spazi sono delle finestrelle web (tipo iframes o simili) che possono caricare svariati tipi di contenuto, in particolare anche script o redirect html che consentono di lanciare indirizzi web. Nel caso insieme al banner pubblicitario viene caricato uno script malizioso che richiama automaticamente senza alcun intervento dell'utente una pagina web. Se il sistema Android ha impostato come gestore predefinito degli URL web l'applicativo "Internet", esso si apre sulla pagina richiamata dal primo script, successivamente dopo alcuni redirect, uno nuovo script all'interno di una pagina web legge il numero di telefono del dispositivo in uso ed invia tramite web una richiesta di attivazione di un servizio premium a pagamento (in genere 5 EUR/settimana in abbonamento) su quel numero, di li a breve (secondi) l'utente riceve la conferma dell'attivazione dell'indesiderato servizio e i 5 EUR risultano scalati dal credito telefonico o addebitati sul conto.
Perché accade:
ci sono svariate sottigliezze e due falle di sicurezza gravi, una riguarda l'applicativo Tapatalk che evidentemente non ha un buon controllo su ciò che pubblicano i propri subscribers pubblicitari, e nel contempo pare aver consentito a causa di una falla l'esecuzione di comandi in automatico senza prompt dell'utente.
D'altro canto anche Google per accontentare i network service providers ha dotato l' applicativo Internet dei diritti per leggere il numero telefonico, l'IMEI del telefono ecc... e purtroppo qualcuno ha trovato una vulnerabilità del browser per leggere le informazioni senza il consenso utente. Dal momento che presumibilmente la maggioranza degli utenti ha impostato l'applicativo "Internet" (ovvero il browser stock Android credo fino alla 4.4) come gestore predefinito degl indirizzi web, esso si apre automaticamente all'indirizzo malizioso richiamato e la falla sul browser fa il resto.
Come difendersi:
Al di là delle azioni risolutive sul codice che solo gli sviluppatori di Tapatalk o Google possono compiere o potrebbero avere già compiuto, la strategia migliore è quella di prevenire certi rischi che permarrebbero anche dopo gli aggiornamenti: Tapatalk necessiterà comunque del diritto di poter passare al sistema indirizzi web da aprire, sia per quanto riguarda il suo funzionamento che per quanto riguarda la pubblicità offerta, mentre Google per politiche favorevoli ai gestori di rete lascerà sempre aperto il permesso che consente al browser, dietro conferma dell'utente, di leggere il suo numero di telefono. Fare aggiornamenti qundi non è garanzia di risoluzione, inoltre quelli di sistema che coinvolgono il browser Android sono infrequenti su modelli non all'ultimo grido e spesso comportano effetti collaterali sgradevoli. Come proteggersi dunque? Appurato che uno non voglia trincerarsi dietro l'astinenza la via migliore è togliere l'applicativo Internet dalla gestione predefinita degli indirizzi web. Ciò comporta che qualora lo script malizioso su Tapatalk venga automaticamente eseguito si apra un pop up di sistama che consente le scelta del browser. Se l'utente non ha premuto niente o ha inavvertitamente sfiorato un banner, durante questa fase intermedia pùo tranquillamente premere il soft button "back" per tornare indietro e nessuna pagina sarà aperta. Se nessun altro browser fosse presente per avere la scelta è necessario intallarne un qualsiasi altro, Chrome, Opera, Firefox... il mercato ne offre una buona varietà.
Altra soluzione potrebbe essere quella di impostare come gestore predefinito degli indirizzi web un browser che non abbia i permessi di leggere direttamente il numero di telefono. Chrome può essere una buona scelta dato che non richiede il permesso "phone status and identity", quindi intrinsecamente più sicuro, ma anche browser che la richiedono sono preferibili al browser stock Android: è possibile aggiornarli indipendentemente dal sistema, inoltre essendo meno diffusi dovrebbero essere bersagliati in minor misura dai malintenzionati informatici. Se l'utente dovesse scegliere di non usare un browser predefinito è importante che durante la scelta del browser non prema mai il tasto "apri sempre con" che imposterebbe il browser selezionato come predefinito bypassando la fase di scelta.
Inoltre lasciate aggiunga che la mia esperienza personale mi porta a considerare strumenti come anti-virus, anti-malware e real time protectors completamente superflui e controproducenti: i gestori di questi servizi truffaldini sono molto più rapidi a cambiare domini, indirizzi e connotati piuttosto che gli sviluppatori di questi strumenti a bloccarli, inoltre tali software risultano quasi universalmente molto penalizzanti sulle risorse e la velocità del sistema.
Ho notificato il forum poiché ho notato svariati utenti (me incluso) con la signature di Tapatalk, quindi potenziali vittime di questa truffa che interessa indistintamente gli operatori di rete italiani. Se ne cadeste vittima disabilitate subito il servizio e contattate il vostro operatore: ci sono buone probabilità di recuperare il credito. Il sistema truffaldino non viene interdetto dal blocco degli SMS premium (a pagamento), quindi nessuna linea può essere al riparo da tale raggiro.
Se ritenete utile passate questa informazione innanzitutto a quanti più utenti di Tapatalk conoscete. Non ho idea se ciò accada per Tapatalk anche su altri sistemi, quello che so, confermato da alcuni miei colleghi, è che anche su iOS su iPhone 5 esistono vulnerabilità simili e pur non usando Tapatalk si aprono pagine da sé e si attiva automaticamente un servizio con SMS in abbonamento.
A questo punto vi auguro buona sorte e di non capitarci mai per ben due volte come è accaduto a me prima che riuscissi ad isolare il problema.
Buon proseguimento...
Commenta