E' stato pubblicato un dossier da parte di AppBugs in cui viene comunicato che gli sviluppatori di alcune app presenti sull'App Store Apple e sul Google Play Store lasciano le password dei loro iscritti vulnerabili ad attacchi hacker.
Il problema nasce dal fatto che tali app non limitano i tentativi di login sulle proprie piattaforme, per cui gli hacker possono usare la tecnica del "brute force" per attaccare le app e rubare le password. Il brute force sfrutta proprio la mancanza di limitazioni dei tentativi di login andando a provare tutte le password possibili fino a trovare quella giusta.
AppBugs ha trovato 53 app per iOS e Android che non sono protette dagli attacchi hacker brute force, per cui sono stati stimati in circa 600 milioni gli utenti a rischio furto di password. La notizia è che alcune di queste app sono molto popolari: ESPN, iHeart, Expedia, CNN, SoundCloud, Walmart e purtroppo diverse altre che contano milioni di utenti iscritti. Uno studio ha stabilito che una password può essere scoperta da un attacco hacker brute force in un periodo di tempo che può andare da un minimo di 30 minuti ad un massimo di 24 giorni, ma tutto dipende anche dalla quantità di computer che effettuano l'attacco hacker e la potenza degli stessi, oltre che ovviamente dalla difficoltà della password da trovare.
Se possedete un'iscrizione in una delle app citate da AppBugs, potete fare ben poco, infatti anche disinstallando l'applicazione i vostri dati resteranno comunque sui server. L'unica cosa che potete fare è impostare una password di 20 caratteri, rendendo l'attacco hacker brute force difficile, ma non potrete mai renderlo impossibile se gli sviluppatori dell'app non faranno qualcosa.
AppBugs ha invitato gli sviluppatori delle app citate nel proprio dossier a correre al più presto ai ripari inserendo le limitazioni ai tentativi di login, oppure di impostare un login in due passaggi che renda inutile gli attacchi brute force e salvi le password degli utenti dagli attacchi hacker.