Nuovo attacco Cloak and Dagger: milioni di dispositivi Android vulnerabili!

Scoperta da un team di ricercatori di sicurezza della University of California e del Georgia Institute of Technology e notificata a Google circa 9 mesi fa, questa nuova categoria di attacchi, chiamata Cloak & Dagger (cappa e spada), colpisce i dispositivi mobili dotati del sistema operativo Android. Alcune di queste vulnerabilità sono ancora presenti fin nell’ultima versione Android 7.1.2 Nougat con le più recenti patch di sicurezza. Sulla base dei dati pubblicati da Google si stima che siano in circolazione circa 800 milioni di dispositivi potenzialmente vulnerabili a questi attacchi.

Come agiscono?

Gli attacchi non sfruttano particolari vulnerabilità o bug, ma si basano su due autorizzazioni delle app:

• SYSTEM_ALERT_WINDOW (draw on top): consente ad un’app di creare una finestra di “overlay” che viene mostrata al di sopra di tutte le altre app.
• BIND_ACCESSIBILITY_SERVICE (“a11y”): è un’autorizzazione richiesta dai servizi per l’accessibilità che consentono agli utenti con disabilità di interagire con il dispositivo e le app.

L’idea è che un’applicazione malevola riesca ad eseguire dei clickjacking (“rapimento del click”, tecnica informatica fraudolenta atta a reindirizzare i clic di una vittima, a sua insaputa, su altri oggetti) sfruttando gli overlay. Questi ultimi vanno in pratica a “coprire” l’applicazione attualmente in esecuzione intercettando ad esempio tutte le informazioni inserite tramite tastiera, come password ed altre credenziali e riuscendo poi a prendere il controllo completo del dispositivo.

In che modo un’app fraudolenta può sfruttare gli attacchi Cloack & Dagger?
Attacchi che sfruttano l’autorizzazione “draw on top”:

• Clickjacking sensibile al contesto e occultamento del contesto: due tecniche che consentono di indurre l’utente ad abilitare i servizi per l’accessibilità.
• Attacco della griglia invisibile: consente la cattura non vincolata del testo digitato, incluse password, messaggi privati, ecc.

Attacchi che sfruttano l’autorizzazione “a11y”:

• Cattura non vincolata del testo digitato, incluse password.
• Furto del PIN di sicurezza.
• Sblocco del dispositivo mediante iniezione del PIN e azioni arbitrarie a schermo spento.
• Furto di token per l’autenticazione a due fattori (basato su SMS, su Google Authenticator e altri)
• Hijacking di annunci pubblicitari.
• Esplorazione Web.

Attacchi che sfruttano entrambe le autorizzazioni:

• Installazione silenziosa di app “God-mode” (con tutte le autorizzazioni abilitate).
• Attacco di phishing furtivo.

Come ci si  può proteggere?
Per mitigare questa minaccia si consiglia agli utenti Android di controllare quali applicazioni installate sul loro dispositivo richiedono le autorizzazioni “draw on top” e “a11y”. Questa procedura varia a seconda della versione di Android. Per ora Android non ha rilasciato aggiornamenti per risolvere questo problema dal momento che questi difetti di progettazione sono stati introdotti nel sistema intenzionalmente dagli sviluppatori.
Suggeriamo di fare comunque riferimento a queste guide di Google Play:

• Controllo delle autorizzazioni app per Android 5.9 e versioni precedenti
• Controllare le autorizzazioni delle app per Android 6.0 e versioni successive

Si raccomanda inoltre agli utenti di dispositivi Android di evitare assolutamente di scaricare app dagli store non ufficiali e di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play.