Video: Google Play Policy - Restricted Content (Novembre 2024)
Una vulnerabilità nel sistema operativo Android consente agli aggressori di prendere un'app esistente, iniettare codice dannoso e riconfezionarlo in modo tale che possa fingere di essere l'app originale. Dovresti essere preoccupato?
I ricercatori di Bluebox Security hanno scoperto il difetto nel modo in cui vengono verificate le firme crittografiche per le app, Jeff Forristal, CTO di Bluebox, ha scritto sul blog aziendale il 3 luglio. Ciò significa che gli aggressori potrebbero modificare l'app senza cambiare la sua firma crittografica, ha detto Forristal.
Il difetto esiste da Android 1.6 ("Donut") e ha reso il "99 percento" dei dispositivi, o "qualsiasi telefono Android rilasciato negli ultimi quattro anni" vulnerabile agli attacchi, ha affermato Forristal.
Lo scenario spaventoso è simile a questo: un'app legittima (ad esempio un'app Google) viene modificata per rubare le password o connettere il dispositivo a una botnet e rilasciata agli utenti per il download. Poiché entrambe le app hanno la stessa firma digitale, sarà difficile per gli utenti sapere quale è reale e quale è falso.
Beh, non proprio.
Sono in pericolo?
Google ha aggiornato Google Play in modo che siano presenti controlli per bloccare eventuali app dannose che utilizzano questo exploit per mascherarsi come qualche altra app.
Se installi app e aggiornamenti da Google Play, non sei a rischio di questo exploit, poiché Google ha adottato misure per proteggere il mercato delle app. Se scarichi app da mercati di terze parti, anche semi-ufficiali come gli store di app Samsung e Amazon, allora sei a rischio. Per il momento, potrebbe valere la pena trattenersi dall'utilizzare quei mercati.
Google consiglia agli utenti di stare lontano dai mercati di app Android di terze parti.
Cos'altro posso fare?
È anche importante ricordare che dovresti sempre guardare chi è lo sviluppatore. Anche se un'app Trojanized arriva tramite Google Play o se ti trovi in un app store diverso, l'app non verrà elencata sotto lo sviluppatore originale. Ad esempio, se gli aggressori riconfezionassero Angry Birds usando questa vulnerabilità, la nuova versione non sarebbe elencata nell'account di Rovio.
Se vuoi assicurarti di non poter installare app da fonti di terze parti, vai in Impostazioni> Sicurezza e assicurati che la casella di controllo per l'installazione di app da "fonti sconosciute" non sia selezionata.
Se disponi dell'ultima versione di Android, sei anche protetto dal sistema di scansione delle app integrato in quanto esegue la scansione di app provenienti da fonti diverse da Google Play. Ciò significa che anche se si installa erroneamente un'app errata, il telefono potrebbe comunque bloccare il codice dannoso.
Esistono anche app di sicurezza per Android in grado di rilevare comportamenti dannosi e avvisarti dell'app offensiva. PCMag raccomanda Bitdefender Mobile Security dei nostri redattori.
È probabile che un attacco?
"Solo perché la" chiave principale "non è stata ancora sfruttata, non significa che possiamo riposare sugli allori", ha detto a SecurityWatch Grayson Milbourne, direttore dell'intelligence della sicurezza di Webroot. La sicurezza mobile dovrebbe riguardare la protezione del dispositivo da tutti i lati: la protezione dell'identità per proteggere password e altre informazioni personali, il blocco di malware e app dannose e la possibilità di trovare il dispositivo in caso di smarrimento o furto, ha affermato Milbourne.
Bluebox ha segnalato il difetto a Google a febbraio e Google ha già distribuito una patch ai suoi partner hardware in Open Handset Alliance. Diversi produttori di telefoni cellulari hanno già rilasciato patch per risolvere il problema. I gestori devono ora inviare la correzione agli utenti finali.
"Spetta ai produttori di dispositivi produrre e rilasciare aggiornamenti firmware per dispositivi mobili (e inoltre per gli utenti installare questi aggiornamenti)", ha affermato Forristal. Bluebox ha in programma di rivelare maggiori dettagli durante la conferenza Black Hat a Las Vegas alla fine di questo mese.
Pau Oliva Fora, un ingegnere della compagnia di sicurezza mobile viaForensics, ha pubblicato una prova del concetto sfruttando la vulnerabilità su github l'8 luglio. Fora ha creato lo script della shell dopo aver letto i dettagli del bug pubblicato dal team Cyanogenmod. Cyanogenmod è una versione popolare di Android che gli utenti possono installare sui propri dispositivi. Il team ha già corretto il difetto.
Se sei tra i pochi fortunati utenti che ricevono un aggiornamento Android dal tuo operatore, assicurati di scaricarlo e installarlo immediatamente. Anche se i rischi sono bassi, l'aggiornamento del sistema operativo è semplicemente un buon senso di sicurezza.