È stato identificato un importante bug di sicurezza in una versione Android della nota applicazione di shopping, SHEIN.
Il problema potrebbe raccogliere e inviare il contenuto in memoria degli appunti (copia/incolla, detta clipboard), ad un server esterno.
Secondo il team di ricerca di Microsoft 365 Defender, la vulnerabilità è stata riscontrata nell’aggiornamento 7.9.2 dell’app, che venne reso disponibile il 16 dicembre 2021. A partire da maggio 2022, il problema è stato risolto.
Il negozio cinese di fast fashion online Shein, precedentemente noto come ZZKKO, ha sede a Singapore. Quasi 100 milioni di persone hanno scaricato l’app Android, che è alla versione 9.0.0 ed è disponibile su Google Play Store.
La ricerca ha fatto notare che all’apertura del programma dopo aver copiato qualsiasi contenuto negli appunti del dispositivo, viene generata una richiesta HTTP POST contenente i dati copiati, che viene inviata automaticamente al server “api-service[.]shein[.]com”.
Una vista al codice incriminato
Il metodo com.zzkko.app.BaseActivityCallBack.k che avvia un flusso, che esegue una richiesta POST al server in BaseUrlConstant.APP_URL + ” /marketing/tinyurl/phrase” che, al netto delle variabili, si risolve in https://api-service[.]shein[ .]com/marketing/tinyurl/frase
Il bug su SHEIN è pericoloso perché può spianare la strada ai malintenzionati
In effetti il fatto grave è proprio nell’abuso di questa vulnerabilità, come sempre accade nel caso di problemi di sicurezza in app largamente utilizzate. Il grande pubblico dietro questa app, amplia notevolmente la superficie d’attacco per utenti malintenzionati.
I contenuti delle clipboard (così si chiamano le memorie che vengono alimentate quando copiamo un contenuto testuale, prima di incollarlo), sono sempre presi di mira e ambiti dai cyber criminali, perché consapevolmente tutti sanno quanto questa funzionalità viene utilizzata dagli utenti. Copiamo numeri di carte di credito, nomi, password, codici, indirizzi. Tutto viene copiato e incollato, nell’arco delle nostre giornate, all’interno dei nostri dispositivi.
Avere un dispositivo di questo tipo, contenente una app che a nostra insaputa fa transitare online i contenuti che l’utente copia in memoria, è senza dubbio un problema sensibile, proprio per il fatto che possono essere intercettate e abusate contro l’utente.