31 Gennaio 2018
Android è il sistema operativo mobile più diffuso al mondo e, come tale, anche quello maggiormente esposto al rischio di attacchi hacker (non solo per debolezze intrinseche del sistema, ma perché, solitamente, i malintenzionati rivolgono le loro attenzioni a quello che sono, appunto, le piattaforme software più usate). Tra i vari attacchi messi recentemente in evidenza dagli esperti di sicurezza figura quello scoperto dai ricercatori di Palo Alto Networks Unit 42, e che sfrutta una vulnerabilità delle notifiche toast.
Prima di entrare nel merito, è opportuno precisare quanto è esteso il numero di terminali Android potenzialmente vulnerabili: la falla è stata infatti già corretta con le patch di settembre e nel sistema operativo Android Oreo; gli utenti che non hanno ricevuto tali patch o che usano una precedente versione del sistema operativo sono perciò a rischio.
Per comprendere il funzionamento dell'exploit utilizzato dai ricercatori, ricordiamo che le notifiche toast sono piccoli messaggi, posizionati nella parte inferiore del display, racchiusi in una sorta di fumetto a sfondo grigio. L'exploit utilizza la notifica toast per creare un overlay sullo schermo senza necessità di richiedere il permesso SYSTEM_ALERT_WINDOW, che dovrebbe essere ottenuto da qualsiasi app per poter inserire elementi nella schermata.
La tecnica viene utilizzata per creare pulsanti, in apparenza innocui, che confermano, ad esempio, la legittima acquisizione dei permessi, ma che in realtà accordano i privilegi di amministratore o permessi ad un'altra app. Ciò è reso possibile dal sistema di controllo dei permessi che, nelle versioni di Android precedente ad Oreo o senza patch di settembre, si rivela inadeguato: di fatto non viene esaminato ciò che si crea tramite il sistema di overlay delle notifiche toast.
Se l'attacco va a buon fine, le conseguenze sono facilmente intuibili. Accordare i privilegi di amministratore o permessi ad un'app, senza essere consapevoli di ciò che si autorizza realmente apre le porte ad una molteplicità di minacce: dai ransomware, ai keylogger, sino ad arrivare alla cancellazione dei dati del dispositivo. Come detto, si tratta di una falla corretta con la più recente versione di Android (tuttavia installata in un numero molto limitato di terminali) e con le patch di settembre che, si spera, i vari produttori distribuiscano al più presto (numerosi device le hanno già ricevute).
Ulteriori dettagli tecnici sullo schema di funzionamento dell'attacco sono reperibili presso il sito dei ricercatori.
Commenti
"With this new overlay attack, malware can entice users to enable the Android Accessibility Service and grant the Device Administrator privilege or perform other dangerous actions. If these privileges are granted, a number of powerful attacks can be launched on the device"
Quindi ci vuole un malware che sta in background e "disegni" sopra un'app affidabile un messaggio che chiede di concedere privilegi amministrativi e mentre li concedi non devi leggere a chi li stai concedendo e alla fine l'altra app potrà fare quello che vuole.
Il tutto quando vengono cancellate periodicamente decine di app che i privilegi te li chiedono direttamente e gli utonti glieli danno senza neanche leggere... non vale sicuramente la pena tutto questo sbattimento
certo perchè ora milioni di persone in tutto il mondo non dormono più la notte vero? alla fine come sempre è una vulnerabilità che richiede una disattenzione dell'utente (ovvero che installa app malevole) un utente consapevole o che installa giusto quelle 10 app più diffuse non avrà mai alcun problema perchè l'ecosistema è sicuro.
fosse stata una falla più grave, dove si poteva essere infettati anche senza installare nulla, allora posso capirlo, ma se deve essere l'utente sbadato ad installare app appositamente malevole.. be non corri grossi rischi.
è come dire, non uso windows 10 perchè ci sono malware, non ha senso, windows ormai è sicuro, molto più dello schifo che era XP, ma ovviamente se uno installa software presi chissà dove, scarica crack provenienti da fonti non attendibili, poi non se la può prendere con microsoft o con windows se si ritrova il pc infetto.
Un motivo in più per comprare un android One
Comprati un android One
Se Windows Phone è morto, ci sarà un motivo. Il cuore di Android è proprio la costumizzazione lato producer. Con i suoi pregi e difetti.
No, perché possono già levarsi il peso dal groppone installando Android stock. Ma non lo fanno, perché vogliono la loro personalizzazione.
Sei solo patetico...
Sarò patetico, non alla moda, e chi più ne ha più ne metta...ho un windows Phone. Tante volte mi vien voglia di cambiare SO per le semplici apo che mancano nello store (anche se riesco a muovermi tranquillamente col browser...)...poi leggo notizie come queste e mi rendo conto di quanto io debba ringraziare la tranquillità con cui utilizzo il mio smathphone...
WP ha fallito per mancanza di app (e tra l'altro Samsung è stata la prima a creare smartphone WP oltre a Nokia), se i produttori potessero togliersi quella spesa dal groppone lo farebbero più che volentieri
Ma non si porta infatti nessuna superutenza, ma solo un canale dove poter iniettare ogni genere di codice, che verrà poi attivato nel sistema tramite "Toast".
Immaginalo come un "cavallo di tr0ia" per Android (:
ma dovrebbe portarsi dietro anche "su" visto che di default non c'è in android
se i dispositivi non ricevono patch di sicurezza probabilmente riescono pure a trovare una falla per fare root
Per questo è un exploit, una falla. In un sistema patchato non succede, in quelli pre-Oreo e patch di Settembre sì
le patch di sicurezza di settembre le ho ma comunque non mi pare un problema così grave visto che comunque per sfruttare tale falla occorre (come nella stragrande maggioranza dei casi) che sia l'utente ad installare l'app malevola.
oltretutto se non c'è "su" installato, come farebbe ad ottenere i permessi di root? avete dato per scontato che l'utente ha gia "su" installato? anche perchè ottenere i permessi di root non è così semplice e immediato, spesso bisogna installare il binario da recovery.
su android ho letto quelle di un mese fa, non so se si intende luglio o agosto
Qui non si parla di bug ma di falle di sicurezza
Due mesi fa? Io ho letto che lo hanno risolto con le pack di sicurezza del 9 settembre 2017, quindi quattro giorni fa...
esatto.
fixata da due mesi su tutti i telefoni, ma il problema è chi ha smesso di ricevere patch
Impossibile purtroppo. Android ha successo perché è customizzabile.
Pensi che samsung manterrebbe Android se dovesse montare la stock senza TouchWiz ecc?
Idem tutti gli altri. E' uno dei (vari) motivi per cui WP ha fallito, alle aziende interessa avere software "migliore" della concorrenza, altrimenti se è solo una questione di fare l'hardware può farselo da sola la Foxconn senza bisogno di LG/Samsung/HTC/ecc.
Ma se non sono un utente root come fa l'app a ottenere i privilegi?
Quindi praticamente creeranno delle immagini che si sovrapporranno all'interfaccia grafica normale, ti porta nelle impostazioni, ti fa cliccare sicurezza, ti fa andare ad impostare un blocco schermo, e poi ti chiede i soldi per aver indietro la combinazione che hai appena inserito. Davvero ingegnoso, però ci cascherebbero davvero solo i polli, e deve essere davvero ben studiato per renderlo credibile. E c'è sempre il discorso che l'applicazione per agire deve essere installata. Rimane comunque una falla di sicurezza
non funziona così per il fatto che i telefoni non sono computer, vedi Microsoft che anche sui telefoni ha seguito lo stesso metodo di Google. Ci sono delle parti che variano telefono per telefono, vedi modem e altro, closed source, e che non verranno mai aperte. Google non può prendersi carico di tutte, ma solo dei telefoni che vende. Quello che sta facendo con Project Treble è velocizzare il sistema di aggiornamenti separando il sistema operativo dalla UI integrata dai produttori. Oltretutto nessuno ha interesse a rendere un telefono aggiornabile per sempre. Adottano Android perchè è open source e possono fare quello che vogliono, anche non aggiornare affatto
quoti male, lui sta dicendo che va bene
ti quoto partito update di windows 10 imbloccabile,durante lo streaming di barcellona juventus lo avrei fatto a pezzi il pc se non fosse nuovo
Viste le percentuali, anche il 99,999%, sii generoso.
di sicuro non viene criticato per quel motivo, ma perchè decide lui se e quando interrompere o rallentare un lavoro e/o gioco che richiede banda. non fare il finto tonto
va non parlare della gestione update di Microsoft che qui la gente sa solo rompere le palle a riguardo
Ma metterei il 9 anche dopo la virgola ahah
Che sarà mai? Dovete mangia per forza i toast? Mangiate altro e problema risolto
Su Nexus 6P il mondo riscontro nessun problema ed ho lo smartwatch connesso 24 ore su 24. Più altri auricolari Bluetooth.
ho guardato un po' la fonte (dove c'è il codice)
che geni del male, su 7.0 mancava proprio il controllo del permesso, su 7.1 hanno aggiunto cose accessorie inutili (che mitigano il problema senza eliminarlo)
quindi si assume che l'app maligna sia già installata...
ci sono bug ben peggiori in Android
"Android pre Oreo e senza patch settembre" ergo il 99% degli android in circolazione
azz, io con op3 devo attendere il prossimo update, sperando che mettano subito le nuove patch (in genere le aggiornano ogni 3 mesi)
Tutte le patch di sicurezza servono a chiudere falle contro malware vari, per cui dovrebbe imporre l'update di TUTTE le patch, non solo di questa
(e comunque continuo a pensare che dovrebbe copiare il sistema di Update utilizzato da Microsoft: Un unico OS per tutti i device, gestito da Microsoft stessa e col download dei driver necessari automatico al primo avvio)
Avevo appena finito di leggere la vulnerabilità del bluetooth....
Google dovrebbe imporre a tutti i produttori le patch di settembre allora