Agosto, 2022

Quando capita di dover creare un nuovo account da qualche parte, per esempio per accedere a un nuovo social network o sistema di messaggistica, c’è quasi sempre un dilemma: creare un ennesimo account distinto e separato, con un suo nome utente e password che poi bisogna segnarsi e ricordare, oppure usare la comoda scorciatoia di cliccare su “Accedi con Google” o “Accedi con Facebook” e simili, senza ulteriori preoccupazioni e complicazioni?

Molti utenti sanno bene che la cosa più prudente è creare un account separato, per evitare che qualcuno possa mettere in relazione quello che si fa in un sito con quello che si fa in un altro, ma è una preoccupazione di privacy, non di sicurezza, e quindi viene spesso trascurata. Cliccare su “Accedi con” è così pratico e allettante.

Ma in realtà non usare “Accedi con”, e in generale non associare i propri account social ad app di terzi, è anche una questione di sicurezza. Lo segnala la società di sicurezza informatica indiana CloudSEK, annunciando di aver scoperto oltre 3200 app per dispositivi mobili che per un errore commesso dagli sviluppatori espongono pubblicamente le cosiddette chiavi API di Twitter: in parole povere, nei casi peggiori questo errore permette a un aggressore di prendere il controllo degli account Twitter degli utenti che usano queste app difettose, se hanno associato ad esse il loro account su questa piattaforma social.

Gli aggressori che sfruttano questa falla possono leggere i messaggi diretti degli utenti-bersaglio, mettere like e condividere contenuti spacciandosi per loro, creare o cancellare tweet, aggiungere o rimuovere follower, accedere alle impostazioni dell’account Twitter e altro ancora.

Prima che diciate “facciano pure, tanto a chi vuoi che interessi il mio account Twitter”, CloudSEK fa notare che lo scopo più frequente di questi aggressori non è ficcare il naso nei fatti vostri, ma usare il vostro account, insieme a quelli di moltissime altre vittime, per creare un esercito di account “zombi”, che possono comandare per esempio per fare campagne di spam, diffondere notizie false o pubblicizzare truffe sulle criptovalute. Gli account verificati, quelli con il bollino blu, sono particolarmente desiderabili per questi criminali, perché gli utenti di Twitter tendono a fidarsi maggiormente di quello che scrivono questi utenti verificati.

Il problema è serio, insomma: se si usa l’opzione “Accedi con” e si associa il proprio account social a queste app difettose, c’è il rischio di trovarsi coinvolti in truffe e inganni di vario genere, e non solo su Twitter.

CloudSEK non ha reso pubblico l’elenco di queste 3200 app difettose, ma stando al sito BleepingComputer, che ha preso visione di una copia di questo elenco, si tratta di app che hanno da 50.000 a cinque milioni di download e includono guide ai trasporti cittadini, app di ascolto radiofonico, lettori di libri digitali e persino app per transazioni bancarie online.

Come se non bastasse, la maggior parte di queste app fallate non è ancora stata corretta, ed è per questo che non è possibile farne i nomi. C’è però un’eccezione notevole: un’app della casa automobilistica Ford, chiamata Ford Events, che aveva il grave difetto segnalato da CloudSEK ma è stata corretta e quindi può essere citata.

Visto che incidenti come questo continuano a capitare, conviene evitare in generale di usare qualunque opzione che proponga di accedere a un’app o a un sito usando le credenziali di un account che avete altrove. Lasciate insomma perdere tutti i vari inviti a base di “Accedi con” e create invece un account separato. Evitate, inoltre, di associare i vostri account social ad app non strettamente indispensabili. 

Questi comportamenti non sono una soluzione perfetta, perché gran parte della colpa è di chi sviluppa maldestramente queste app, e richiedono un pochino di impegno e diligenza, ma sono molto meglio di niente. Non ve ne pentirete.