In questi giorni è comparsa una minaccia per il mondo di Android: una vulnerabilità che è presente in tutte le versioni di Android in circolazione, anche con le ultime patch di sicurezza.

A lanciare l’allarme è un’azienda di sicurezza norvegese, Promon, che in collaborazione con un’azienda americana (la Lookout) ha identificato il vettore di attacco, chiamato StrandHogg (una parola di origine vikinga, che indica le razzie lungo le coste).
Potete leggere molti dettagli direttamente dal minisito creato per l’occasione.

La vulnerabilità è a livello di sistema operativo, nel meccanismo che permette ad Android di essere multitasking, ovvero poter avere più processi attivi contemporaneamente. In particolare, esiste la possibilità per un sotto-processo di cambiare (reparenting) il proprio processo di riferimento, e di essere lanciato assieme (o al posto) di uno definito affine.
L’effetto è subdolo perché permette ad un’applicazione malevola di presentarsi con l’icona (e il nome) di un’applicazione legittima (quella affine), essere lanciata al posto di quella e chiedere i permessi per accedere al telefono: l’utente, pensando sia l’applicazione legittima a fare la richiesta, concederà i permessi per l’accesso ai dati del telefono. In fin dei conti, quindi, si tratta di un elaborato inganno. Il che toglie la necessità di acquisire accessi elevati, come quello di root, con altri mezzi/vulnerabilità.

Come per i permessi, l’applicazione malevola può fingere la pagina di login di qualche servizio web, come la propria banca, in un attacco di phishing avanzato. L’attaccante avrebbe a disposizione così qualsiasi password, e se avesse anche accesso al telefono grazie al meccanismo prima esposto, potrebbe superare anche autenticazioni complesse, come l’uso di un codice temporaneo inviato via SMS.

Quanto descritto è ben lungi dall’essere una teoria: Promon ha identificato 36 app che sfruttano proprio questo meccanismo. Nessuna è disponibile direttamente dal Play Store, ma sono scaricate da altre applicazioni presenti, queste sì purtroppo, nel negozio delle applicazioni Android.

Nonostante Pronom abbia comunicato a Google la propria scoperta in estate, la vulnerabilità che permette l’attacco è ancora presente in Android.
Un antivirus e un poco di attenzione nell’uso delle applicazioni (soprattutto diffidando di applicazioni scaricate da altre applicazioni e non dal Play Store) dovrebbe tenerci sufficientemente al sicuro.

Ora come ora però, Android rimane indifeso.

Marco Bonfiglio

Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.