martedì 3 dicembre 2019

StrandHogg: la devastante falla su Android già usata dai cyber criminali


E' stata individuata dai ricercatori di Promon, che hanno scritto un dettagliato report disponibile qui in inglese, una grave vulnerabilità che affligge tutte le versioni esistenti di Android. Rendiamo un breve estratto del report, data la gravità della falla scoperta (che consente di prendere totale controllo sul dispositivo Android senza necessità di eseguire il root) e dato il fatto che è già in uso da diversi gruppi di cyber criminali. 

Come funziona
Gli attaccanti stanno usando un exploit specifico che sfrutta questa falla di livello critico di Android: in dettaglio parliamo di una vulnerabilità nel sistema multitasking che può essere usata per consentire ad un'app dannosa di camuffarsi da qualsiasi altra app attiva sul dispositivo. L'exploit si basa sull'impostazione di controllo chiamata "taskAffinity" che consente a qualsiasi app (anche quelle dannose, evidentemente) si assumere liberamente qualsiasi identità nel sistema multitasking. 

Che cosa può accadere se l'exploit ha successo?
La vulnerabilità rende possibile, come detto, ad un'app dannosa di travestirsi da una seconda app attiva nel dispositivo. In pratica al momento in cui l'utente esegue un'applicazione legittima, l'app compromessa gli mostrerà una schermata identica a quella dell'app originale e, a questo punto, inizierà a richiedere molteplici permissioni.  L'utente ingannato penserà di concedere tali permissioni ad un'app legittima.
Nel caso studiato da Promon l'app dannosa ha richiesto permissioni per accedere agli SMS, alle foto, al microfono  e alla fotocamera (con possibilità di attivarli in qualsiasi momento), al GPS (rendendo geolocalizzabile la vittima) ecc.. ma le possibilità di utilizzo di questa falla sono potenzialmente infinite. Ad esempio gli attaccanti potrebbero mostrare false schermate di login, ottenendo le credenziali inserite ma anche i codici utilizzati per l'autenticazione a due fattori. 




Il meccanismo insomma, fa si che l'app dannosa possa richiedere sempre più permissioni, chiedendone di nuove all'utente mano a mano che si rendono utili: finchè infatti sarà possibile per l'attaccante fare profitto sul dispositivo della  vittima, questo cercherà di scavare in tutti gli anfratti del dispositivo stesso. 

Cosa può fare in breve:
  • ascoltare l'utente tramite microfono;
  • scattare foto tramite la telecamera del dispositivo;
  • leggere e inviare SMS;
  • chiamare o registrare chiamate;
  • rubare credenziali di login;
  • accedere a foto e altri file privati nel dispositivo;
  • geolocalizzare il dispositivo;
  • accedere alla rubrica e sottrarre i contatti;
  • accedere ai log del dispositivo.

Come colpisce i dispositivi Android
La versione analizzata da Promon non risiede nel Google Play, ma viene installata tramite molteplici app compromesse presenti nel Google Play: sono app che fungono semplicemente da dropper, trasportano cioè il codice dell'exploit. Molte di queste app sono già state rimosse dal Google Play, ma è ovvio pensare che molte altre saranno sfuggite ai controlli e molte ancora saranno adesso in upload sul Play Store. Un esempio: tra le app compromesse è risultata CamScanner app, un PDF creator, che però contiene un modulo col codice dell'exploit. Questa app risulta scaricata più di 100 milioni di volte. Parliamo di un app legittima, è bene intendersi, che però ha subito un cambio della versione in download qualche tempo fa. I proprietari ne sono venuti a conoscenza solo su segnalazione di alcuni ricercatori di sicurezza e hanno provveduto a sostituire l'APK compromesso, disponibile su Google Play. Promon, nell'ambito della propria ricerca, ha analizzato le 500 app più scaricate in assoluto dal Google Play, trovandone ben 36 infette con questo exploit.  

Quali versioni sono afflitte da questa vulnerabilità?
Qui arriva la brutta, bruttissima notizia. Tutte, compresa la versione 10 di Android. Insomma, finché Google non rilascerà una patch adatta gli utenti saranno vulnerabili e la caccia alle app compromesse potrebbe essere infinita. Oltre a ciò, è molto molto difficile per una vittima rendersi conto che c'è qualcosa che non va sul proprio smartphone: a parte richieste di permissioni incongruenti rispetto alle funzionalità dell'app e schermate di login che di solito non compaiono, non ci sono molte posibilità di capire che il proprio telefono è stato hackerato.



Nessun commento:

Posta un commento