Android pre Oreo e senza patch settembre esposti a vulnerabilità delle notifiche toast

13 Settembre 2017 38

Android è il sistema operativo mobile più diffuso al mondo e, come tale, anche quello maggiormente esposto al rischio di attacchi hacker (non solo per debolezze intrinseche del sistema, ma perché, solitamente, i malintenzionati rivolgono le loro attenzioni a quello che sono, appunto, le piattaforme software più usate). Tra i vari attacchi messi recentemente in evidenza dagli esperti di sicurezza figura quello scoperto dai ricercatori di Palo Alto Networks Unit 42, e che sfrutta una vulnerabilità delle notifiche toast.

Prima di entrare nel merito, è opportuno precisare quanto è esteso il numero di terminali Android potenzialmente vulnerabili: la falla è stata infatti già corretta con le patch di settembre e nel sistema operativo Android Oreo; gli utenti che non hanno ricevuto tali patch o che usano una precedente versione del sistema operativo sono perciò a rischio.

Per comprendere il funzionamento dell'exploit utilizzato dai ricercatori, ricordiamo che le notifiche toast sono piccoli messaggi, posizionati nella parte inferiore del display, racchiusi in una sorta di fumetto a sfondo grigio. L'exploit utilizza la notifica toast per creare un overlay sullo schermo senza necessità di richiedere il permesso SYSTEM_ALERT_WINDOW, che dovrebbe essere ottenuto da qualsiasi app per poter inserire elementi nella schermata.


La tecnica viene utilizzata per creare pulsanti, in apparenza innocui, che confermano, ad esempio, la legittima acquisizione dei permessi, ma che in realtà accordano i privilegi di amministratore o permessi ad un'altra app. Ciò è reso possibile dal sistema di controllo dei permessi che, nelle versioni di Android precedente ad Oreo o senza patch di settembre, si rivela inadeguato: di fatto non viene esaminato ciò che si crea tramite il sistema di overlay delle notifiche toast.

Se l'attacco va a buon fine, le conseguenze sono facilmente intuibili. Accordare i privilegi di amministratore o permessi ad un'app, senza essere consapevoli di ciò che si autorizza realmente apre le porte ad una molteplicità di minacce: dai ransomware, ai keylogger, sino ad arrivare alla cancellazione dei dati del dispositivo. Come detto, si tratta di una falla corretta con la più recente versione di Android (tuttavia installata in un numero molto limitato di terminali) e con le patch di settembre che, si spera, i vari produttori distribuiscano al più presto (numerosi device le hanno già ricevute).

Ulteriori dettagli tecnici sullo schema di funzionamento dell'attacco sono reperibili presso il sito dei ricercatori.


38

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Eros Nardi

"With this new overlay attack, malware can entice users to enable the Android Accessibility Service and grant the Device Administrator privilege or perform other dangerous actions. If these privileges are granted, a number of powerful attacks can be launched on the device"

Quindi ci vuole un malware che sta in background e "disegni" sopra un'app affidabile un messaggio che chiede di concedere privilegi amministrativi e mentre li concedi non devi leggere a chi li stai concedendo e alla fine l'altra app potrà fare quello che vuole.

Il tutto quando vengono cancellate periodicamente decine di app che i privilegi te li chiedono direttamente e gli utonti glieli danno senza neanche leggere... non vale sicuramente la pena tutto questo sbattimento

Dea1993

certo perchè ora milioni di persone in tutto il mondo non dormono più la notte vero? alla fine come sempre è una vulnerabilità che richiede una disattenzione dell'utente (ovvero che installa app malevole) un utente consapevole o che installa giusto quelle 10 app più diffuse non avrà mai alcun problema perchè l'ecosistema è sicuro.
fosse stata una falla più grave, dove si poteva essere infettati anche senza installare nulla, allora posso capirlo, ma se deve essere l'utente sbadato ad installare app appositamente malevole.. be non corri grossi rischi.
è come dire, non uso windows 10 perchè ci sono malware, non ha senso, windows ormai è sicuro, molto più dello schifo che era XP, ma ovviamente se uno installa software presi chissà dove, scarica crack provenienti da fonti non attendibili, poi non se la può prendere con microsoft o con windows se si ritrova il pc infetto.

fedefigo92

Un motivo in più per comprare un android One

fedefigo92

Comprati un android One

Vincenzo Silvano

Se Windows Phone è morto, ci sarà un motivo. Il cuore di Android è proprio la costumizzazione lato producer. Con i suoi pregi e difetti.

ErCipolla

No, perché possono già levarsi il peso dal groppone installando Android stock. Ma non lo fanno, perché vogliono la loro personalizzazione.

Orlaf

Sei solo patetico...

vivi

Sarò patetico, non alla moda, e chi più ne ha più ne metta...ho un windows Phone. Tante volte mi vien voglia di cambiare SO per le semplici apo che mancano nello store (anche se riesco a muovermi tranquillamente col browser...)...poi leggo notizie come queste e mi rendo conto di quanto io debba ringraziare la tranquillità con cui utilizzo il mio smathphone...

Antsm90

WP ha fallito per mancanza di app (e tra l'altro Samsung è stata la prima a creare smartphone WP oltre a Nokia), se i produttori potessero togliersi quella spesa dal groppone lo farebbero più che volentieri

zSyntex

Ma non si porta infatti nessuna superutenza, ma solo un canale dove poter iniettare ogni genere di codice, che verrà poi attivato nel sistema tramite "Toast".
Immaginalo come un "cavallo di tr0ia" per Android (:

Dea1993

ma dovrebbe portarsi dietro anche "su" visto che di default non c'è in android

Mako

se i dispositivi non ricevono patch di sicurezza probabilmente riescono pure a trovare una falla per fare root

zSyntex

Per questo è un exploit, una falla. In un sistema patchato non succede, in quelli pre-Oreo e patch di Settembre sì

Dea1993

le patch di sicurezza di settembre le ho ma comunque non mi pare un problema così grave visto che comunque per sfruttare tale falla occorre (come nella stragrande maggioranza dei casi) che sia l'utente ad installare l'app malevola.
oltretutto se non c'è "su" installato, come farebbe ad ottenere i permessi di root? avete dato per scontato che l'utente ha gia "su" installato? anche perchè ottenere i permessi di root non è così semplice e immediato, spesso bisogna installare il binario da recovery.

Mako

su android ho letto quelle di un mese fa, non so se si intende luglio o agosto

Zorshark

Qui non si parla di bug ma di falle di sicurezza

Zorshark

Due mesi fa? Io ho letto che lo hanno risolto con le pack di sicurezza del 9 settembre 2017, quindi quattro giorni fa...

efremis

esatto.

Mako

fixata da due mesi su tutti i telefoni, ma il problema è chi ha smesso di ricevere patch

ErCipolla

Impossibile purtroppo. Android ha successo perché è customizzabile.
Pensi che samsung manterrebbe Android se dovesse montare la stock senza TouchWiz ecc?

Idem tutti gli altri. E' uno dei (vari) motivi per cui WP ha fallito, alle aziende interessa avere software "migliore" della concorrenza, altrimenti se è solo una questione di fare l'hardware può farselo da sola la Foxconn senza bisogno di LG/Samsung/HTC/ecc.

Dario · 753 a.C. .

Ma se non sono un utente root come fa l'app a ottenere i privilegi?

Mako

Quindi praticamente creeranno delle immagini che si sovrapporranno all'interfaccia grafica normale, ti porta nelle impostazioni, ti fa cliccare sicurezza, ti fa andare ad impostare un blocco schermo, e poi ti chiede i soldi per aver indietro la combinazione che hai appena inserito. Davvero ingegnoso, però ci cascherebbero davvero solo i polli, e deve essere davvero ben studiato per renderlo credibile. E c'è sempre il discorso che l'applicazione per agire deve essere installata. Rimane comunque una falla di sicurezza

Mako

non funziona così per il fatto che i telefoni non sono computer, vedi Microsoft che anche sui telefoni ha seguito lo stesso metodo di Google. Ci sono delle parti che variano telefono per telefono, vedi modem e altro, closed source, e che non verranno mai aperte. Google non può prendersi carico di tutte, ma solo dei telefoni che vende. Quello che sta facendo con Project Treble è velocizzare il sistema di aggiornamenti separando il sistema operativo dalla UI integrata dai produttori. Oltretutto nessuno ha interesse a rendere un telefono aggiornabile per sempre. Adottano Android perchè è open source e possono fare quello che vogliono, anche non aggiornare affatto

Mako

quoti male, lui sta dicendo che va bene

caxio

ti quoto partito update di windows 10 imbloccabile,durante lo streaming di barcellona juventus lo avrei fatto a pezzi il pc se non fosse nuovo

E K

Viste le percentuali, anche il 99,999%, sii generoso.

Mako

di sicuro non viene criticato per quel motivo, ma perchè decide lui se e quando interrompere o rallentare un lavoro e/o gioco che richiede banda. non fare il finto tonto

manu1234

va non parlare della gestione update di Microsoft che qui la gente sa solo rompere le palle a riguardo

mdma

Ma metterei il 9 anche dopo la virgola ahah

V.

Che sarà mai? Dovete mangia per forza i toast? Mangiate altro e problema risolto

gigilatrottola7

Su Nexus 6P il mondo riscontro nessun problema ed ho lo smartwatch connesso 24 ore su 24. Più altri auricolari Bluetooth.

qandrav

ho guardato un po' la fonte (dove c'è il codice)
che geni del male, su 7.0 mancava proprio il controllo del permesso, su 7.1 hanno aggiunto cose accessorie inutili (che mitigano il problema senza eliminarlo)

takaya todoroki

quindi si assume che l'app maligna sia già installata...
ci sono bug ben peggiori in Android

GianlucaA

"Android pre Oreo e senza patch settembre" ergo il 99% degli android in circolazione

Tiwi

azz, io con op3 devo attendere il prossimo update, sperando che mettano subito le nuove patch (in genere le aggiornano ogni 3 mesi)

Antsm90

Tutte le patch di sicurezza servono a chiudere falle contro malware vari, per cui dovrebbe imporre l'update di TUTTE le patch, non solo di questa
(e comunque continuo a pensare che dovrebbe copiare il sistema di Update utilizzato da Microsoft: Un unico OS per tutti i device, gestito da Microsoft stessa e col download dei driver necessari automatico al primo avvio)

efremis

Avevo appena finito di leggere la vulnerabilità del bluetooth....

laspas

Google dovrebbe imporre a tutti i produttori le patch di settembre allora

Samsung Galaxy S23, Plus e Ultra in arrivo: tutto quello che c'è da sapere | VIDEO

Riprova Vivo X80 Pro con Android 13: una Vivo sempre più intrigante | Video

Confrontone tra i quasi top 2022, 9 smartphone uno contro l'altro | Video

Rog vs Rog vs Batman: Mediatek 9000 o Snapdragon 8+ gen.1 | Video