Malware Android preinstallato su smartphone: Google analizza il caso Triada

07 Giugno 2019 64

Mantenere sicuro un sistema operativo "open" come Android è molto complicato, perché il numero di entità coinvolte nel suo sviluppo è estremamente vasto; e perché spesso l'intraprendenza dei disonesti è sempre pronta a trovare scappatoie originali e a loro modo intelligenti. Recentemente Google ha illustrato uno di questi casi.

Il principio sfruttato è questo: molti produttori di smartphone e altri dispositivi Android, soprattutto quelli più piccoli, non hanno le risorse per creare in prima persona tutte le loro personalizzazioni software, e quindi ricorrono a sviluppatori esterni. Questi ultimi possono diventare il vettore di attacco. Lo schema si può riassumere così:

  • Il produttore invia un'immagine di sistema completo agli sviluppatori terzi
  • Gli sviluppatori terzi implementano le funzioni richieste, più un malware (senza naturalmente dirlo al produttore)
  • Il nuovo codice, quello "buono" e quello "cattivo" viene inserito in una nuova immagine di sistema
  • L'immagine infetta torna al produttore, che la implementa nei dispositivi e li mette in vendita

L'utente, così, si trova lo smartphone infetto ancora prima di averlo configurato - o di aver aperto la confezione, a ben vedere.


Il caso esaminato da Google risale a qualche anno fa e riguarda Triada, adware molto avanzato (capace anche di eseguire codice non autorizzato) e difficile da rilevare che mostrava annunci molto invasivi e fastidiosi. Ne avevamo parlato anche noi, a suo tempo. Fortunatamente, è difficile qualcuno dalle nostre parti si sia imbattutto negli smartphone coinvolti in questa specifica vicenda (un report del 2017 parlava di smartphone prodotti da Leagoo e Nomu), ma è chiaro che la metodologia è molto pericolosa - tra l'altro, si potrebbe estendere anche alle patch di sicurezza e agli aggiornamenti in generale. È molto difficile che un'immagine di Android contenga solo codice first-party.

Grazie all'episodio Triada, Google ha l'occasione di evidenziare i vantaggi forniti dai suoi strumenti di sicurezza: non solo i Play Service e Google Play Protect includono funzioni di scansione anti-malware, ma i produttori che aderiscono al programma di compatibilità hanno a disposizione una suite di test dedicati.


64

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Quotatore

Quoto

eric

Tipo Xiaomi,Oppo,Vivo,Huawei e Honor!

sopaug

e soprattutto in quale modo uno closed sarebbe più sicuro, visto che sono proprio i componenti closed ad essere sotto accusa?

Walter Antolini

Il Neo FreeRunner è ancora più sicuro, ma ha fatto la fine che farà a breve Windows Phone.

walterego221

si, fino a dicembre.. poi ciao ciao whatsapp e ciao ciao lumia

Andrea Z.

"ci sono stati dei problemi anche nelle app dello store"
non sto commentando quelle notizie ma questa. IN QUESTO CASO è giusto dire che google, o al suo posto chiunque altro, non avrebbero potuto farci nulla, dato che un cellulare NON passa per le mani di google prima di essere venduto sul mercato. Google fornisce il sistema, poi se tu lo farcisci di malware e lo vendi, google è innocente in tutto e nulla di meglio poteva fare.
Altri casi sono diversi, e le colpe sono diverse.

Kleinep

No, perché come visto nei giorni scorsi, ci sono stati dei problemi anche nelle app dello store, il fatto che comunque Google non controlli o che lasci così tanta libertà è sbagliato perché va a discapito della sicurezza dell'utente meno esperto, perché parliamoci chiaro, quelli che comprano questi cinesoni sono quelli che non voglio spendere per uno smartphone neanche 100€

Andrea Z.

ma il play protect protegge quello che scarichi DALLO STORE! la roba preinstallata da huawei o da xiaomi o da samsung non passa per alcun controllo di google e google non ne può essere responsabile!

Kleinep
Alessio Perelli
eric

....già basta evitare di acquistare cinesate varie....

Repox Ray

In sostanza è perchè non c'è una mela stampigliata sul retro.

Vinx

C’è poco da fare per avere sicurezza di un certo livello dovete passare al lato oscuro

zdnko

A causa del ban il maleware Triada non verrà installato sui device Huawei! :D

yepp
Andrea Z.

qui si parla di roba preinstallata dai produttori, android non c'entra nulla. Potrei preinstallare un malware su un mac pro e venderlo, sarebbe colpa di apple?

Andrea Z.

che beneamata m1nchi@ta

Andrea Z.

quindi se io vendo un mac con preinstallato (da me) un virus te la prendi con apple vero?

Andrea Z.

sta di fatto che ciò che è preinstallato dai produttori di telefoni non ha passato alcun controllo di terze parti, ci dobbiamo fidare di quel produttore e basta.

Andrea Z.

se è preinstallato (dai produttori degli smartphone!) google non ha alcuna colpa, il play store non ha alcuna colpa.

Andrej Peribar

E parliamo di lenovo, non di una aziende cinesi semi sconosciuta.

Quando vengono scoperti piangono come i bimbi.
Anche HP disse che aveva lasciato il keylogger per errore XD

nessuno12

mi fa piacere non essere l'unico che se lo ricorda...
maledetta lenovo e volevano pure aver ragione

nessuno12

"Google ha l'occasione di evidenziare i vantaggi forniti dai suoi strumenti di sicurezza: non solo i Play Service e Google Play Protect includono funzioni di scansione anti-malware, ma i produttori che aderiscono al programma di compatibilità hanno a disposizione una suite di test dedicati."

so che vi piace google ma una leccata così palese non l'avevo mai vista qua su hdblog

ErCipolla

Approfondisco io: "frase senza senso"

Il produttore ti vende il terminale col software, se questo software contiene malware la colpa è del produttore, fine. Che sia open o no non c'entra una fava, non c'entra manco se il sistema operativo è Andoird o qualcos'altro. Se Apple volesse potrebbe inserire un malware in ios, chi glielo impedisce? Non lo fanno perché non sono stup1di e sanno benissimo che sarebbe un grave danno d'immagine, cosa che non si può dire per aziende molto più piccole come quelle qui coinvolte. In questo caso evidentemente i produttori hanno deciso che "valeva la pena".

Andrej Peribar

Ca§§ate.

In primis ho fatto appunto gli esempi di HP e lenovo che riguardano windows.
In seconda battuta, il codice che viene introdotto da fonti terze non viene rilasciato open, altrimenti verrebbe individuato, ma apunto come codice closed source.
ecco perchè una terza parte può nasconderlo persino all'OEM che lo paga per scriverlo.

quindi fatele finita con queste leggende metropolitane.

MasterBlatter

Invece è proprio il fatto di essere open a permettere che chiunque ci possa mettere le mani sopra e aggiungere quello che vuole. Su un codice proprietario questo è molto più complicato da attuare.

mruser2

Pare che questo malware sia soprannominato “Android”

Umby

Ecco un altro pretesto magari per coinvolgere pure huawei visto il tornado abbattuto su di esso dal governo Trump. È solo un ipotesi booooo!!!

Andrej Peribar

Lo citavo proprio sotto come esempio

Senzanima

Windows Phone è ancora più sicuro di iOS.

Stefano Benvenuto

@REDAZIONE

Potreste cortesemente approfondire "Mantenere sicuro un sistema operativo "open" come Android è molto complicato, perché il numero di entità coinvolte nel suo sviluppo è estremamente vasto"?

Mako

Un bell'invito ad acquistarsi solo telefoni certificati con play store

Mako

Infatti su PC Lenovo non è mai esistito Superfish

Ansem The Seeker Of Darkness

Letto ora :)

Andrej Peribar

Già, con tutte quelle multinazionale che ci lavorano :p

Piddì

Aridaje

Troglodita

Ecco perché iPhone è più sicuro.
Android è un virus

Monka S

Si parla di malware perchè è bello che le cose "cattive" abbiano un nome adeguato. Ci sono molte altre cose che fanno un uso improprio dei nostri smartphone, cose che noi chiamiamo con il nome proprio, come se fossero amici. Tutto cambia in base alle definizioni che diamo.

Alessio Ferri

Saranno gli stessi che fanno la miui e la emui

Andrej Peribar

Ho scritto un messaggio sopra che dovrebbe chiarire il punto.

Andrej Peribar

Ovviamente non sono le parole di Google.

Non ci sta perché non è la natura open o closed del codice a generare questo problema.

Ma una politica commerciale errata.

Esempio.
Se tu non predisponi che codice core (es un driver) ti venga inviata da i produttori di CIP in main line in modo che tu lo approvi e lo introduci nel sistema vanilla e poi questo sistema venga dato agli OEM per le personalizzazioni sw come un launcher o una suite non puoi prevenire questo.

Dimostrazione è il fatto che windows ha avuto casi simili anche con vendor importanti (lenovo backdoor o driver tastiera con keylogger per citare due riscontri) per lo stesso identico motivo.

Politica commerciale atta alla diffusione non alla sicurezza.

(detto semplificando)

Ansem The Seeker Of Darkness

In che modo? Se installi un virus a livello firmware l'unica è formattare il telefono, altrimenti è praticamente impossibile rimediate.

IlFuAnd91

Non credo (spero) siano le parole di google. Comunque qua si parla di produttori che prendono il codice e ci ficcano quel che più gli aggrada quindi un po' ci sta anche.

Andrej Peribar

No.
Il problema descritto si può verificare su qualunque sistema OEM, Samsung compresa

Che poi Samsung non lo faccia è un altro discorso.

sseddiss

Le hanno ben pochi, anche chi acquista prodotti di marche più note, anzi direi soprattutto questi.

sseddiss

Ahahahha

Andrej Peribar

Stesso identico discorso.
Windows ha avuto casi di spyiware proprio per i tool preinstallate da terze parti.

La catena della sicurezza non funziona se tu fai mettere mano a parti fondamentali del sistema con le dovute precauzioni.

Questa è politica commerciale.
Non è una questione tecnica.

Andrej Peribar

Il produttore del sistema ha modo di intervenire solo se è interessata a farlo.

Finché la politica commerciale è la diffusione del sistema e non la sua sicurezza è inutile ragionare su cosa può fare a posteriori.

IRNBNN

Sto piangendo xD

Pixel 6 e 6 Pro ufficiali: Google punta al top | Prezzi e VIDEO

Xiaomi 11T: scopriamolo in diretta insieme a Xiaomi Italia | Replay

Qual è il miglior smartphone per foto e video: ecco il confrontone | Video

Recensione Samsung Galaxy A52s: fascia media che accontenta tutti