La software house cinese Cheetah Mobile non solo si è beccata numerose critiche quando ha acquisito il team di sviluppo di ES File Explorer e l’ha resa un’app piena zeppa di pubblicità ma adesso sta venendo criticata per la scoperta della conservazione di molti dati nei server Amazon AWS in chiaro e non in maniera crittografata.
Lo sviluppatore Till Kottmann ha analizzato l’APK di CM Launcher 3D su Twitter e, tra alcune chiamate abbozzate a server casuali, è stato rilevato che CM Launcher memorizza temi, icone, sfondi e altri dati installabili in un server Amazon AWS non protetto. In pratica, chiunque può caricare dati sul server da cui CM Launcher e altre app Cheetah scaricano dati, mettendo a rischio gli utenti che usano il launcher (è possibile ad esempio caricare del codice malevolo e sostituirlo a un file necessario per il launcher).
Wait holy shit, their bucket actually allows anyone to write to it.https://t.co/a0zMjBXMHC
This is a HUGE security risk, CM Launcher loads all theme screenshots and wallpapers from there and the bucket seems to be shared with other CM Products as well. https://t.co/LTTaLotFyF
— Till Kottmann (@deletescape) 21 maggio 2019
<script async src=”https://platform.twitter.com/widgets.js” charset=”utf-
@CraigSilverman @zackwhittaker @hallstephenj @ArtemR Cheetah Mobile asset server allows anyone to upload anything. This would allow a threat actor to break CM Launcher 3D in a few clicks by replacing JSON files they try to parse inside the app. This also further shows CM has
— Till Kottmann (@deletescape) 21 maggio 2019
Insomma, il nostro consiglio è quello di stare alla larga da CM Launcher in questo momento e di affidarvi, se non al launcher predefinito del vostro smartphone, ad alternative ben più apprezzate come Nova Launcher.
Prima di lasciarvi, vi vogliamo ricordare che una falla di sicurezza in WhatsApp ha messo a rischio miliardi di dispositivi e che Cheetah Mobile non è la sola a non prestare molta attenzione alla sicurezza, visto che Facebook ha conservato centinaia di milioni di password non crittografate: cambiatela per sicurezza.
