Video: COS'È UN RANSOMWARE ? | COME PROTEGGERSI (Novembre 2024)
Una delle cose migliori dei sistemi operativi mobili è il sandboxing. Questa tecnica suddivide in compartimenti le applicazioni, impedendo alle app rischiose (o a qualsiasi app) di avere libero sfogo sul tuo Android. Ma una nuova vulnerabilità potrebbe significare che il sandbox di Android non è così forte come pensavamo.
Che cos'è?
Alla Black Hat, Jeff Forristal ha dimostrato come un difetto nel modo in cui Android gestisce i certificati possa essere usato per sfuggire alla sandbox. Potrebbe anche essere usato per dare alle app dannose livelli di privilegi più alti, il tutto senza dare alle vittime un indizio su cosa stia succedendo nel loro telefono. Forristal ha affermato che questa vulnerabilità potrebbe essere utilizzata per rubare dati, password e persino assumere il pieno controllo di più app.
Al centro del problema ci sono i certificati, che sono fondamentalmente piccoli documenti crittografici che hanno lo scopo di garantire che un'app sia ciò che afferma di essere. Forristal ha spiegato che è la stessa identica tecnologia utilizzata dai siti Web per garantire l'autenticità. Ma Android, a quanto pare, non esamina le relazioni crittografiche tra i certificati. Questo difetto, ha affermato Forristal, è "piuttosto fondamentale per il sistema di sicurezza Android".
Cosa fa
Nella sua dimostrazione, Forristal ha utilizzato un falso aggiornamento dei servizi Google che conteneva codice dannoso utilizzando una delle vulnerabilità dell'ID falso.L'app è stata consegnata insieme a un'e-mail di ingegneria sociale in cui l'attaccante si pone come parte del reparto IT della vittima. Quando la vittima va a installare l'app, vede che l'app non richiede alcuna autorizzazione e appare legittima. Android esegue l'installazione e tutto sembra andare bene.
Ma in background, l'app di Forristal ha utilizzato una vulnerabilità ID falso per iniettare automaticamente e immediatamente codice dannoso in altre app sul dispositivo. In particolare, un certificato Adobe per l'aggiornamento di Flash le cui informazioni sono state codificate in Android. In pochi secondi, aveva il controllo di cinque app sul dispositivo, alcune delle quali avevano un accesso profondo al dispositivo della vittima.
Questa non è la prima volta che Forristal si scherza con Android. Nel 2013, Forristal ha sorpreso la comunità Android quando ha svelato il cosiddetto exploit Master Key. Questa vulnerabilità diffusa significava che le app false potevano essere mascherate come legittime, potenzialmente offrendo alle app dannose un pass gratuito.
Verifica ID
La presentazione di Forristal non ci ha solo dato le notizie che aprono gli occhi su Android, ma ci ha anche fornito uno strumento per proteggere i nostri problemi. Forristal ha rilasciato uno strumento di scansione gratuito per rilevare questa vulnerabilità. Ovviamente, ciò significa che le persone dovranno impedire ai malware di entrare nei loro telefoni.
Il bug è stato segnalato anche a Google e le patch sembrano uscire a livelli diversi.
Ancora più importante, l'intero attacco dipende dalla vittima che installa l'app. È vero, non ha la bandiera rossa di chiedere molte autorizzazioni, ma Forristal ha detto che se gli utenti evitano le app da "luoghi ombrosi" (leggi: fuori da Google Play) saranno al sicuro. Almeno per ora.