Una vulnerabilità XFO (X-Frame-Options) nel Google Play Store consente l'esecuzione di codice remoto

Una vulnerabilità nell’app Google Play Store rende gli utenti Android vulnerabili al malware.

Il difetto XFO, noto anche come X-Frame-Options, quando combinato con un recente bug di Android WebView (Jelly Bean), crea un modo per gli hacker di installare silenziosamente qualsiasi app dal Google Play Store.

Joe Vennix di Rapid7 ha identificato la vulnerabilità XFO del Play Store e la società Metasploit ha reso pubblico il problema martedì con la pubblicazione di un avviso, accompagnato da un modulo Metasploit che aiuta i professionisti della sicurezza aziendale a testare gli smartphone aziendali per l’esposizione alla vulnerabilità XFO.

Il manager dell’ingegneria di Rapid7, Tod Beardsley, con la società che è dietro lo strumento di penetration testing Metasploit, ha spiegato che molti dispositivi che eseguono installazioni di Android 4.3 (Jelly Bean) e versioni precedenti vengono forniti con browser con esposizioni UXSS [Universal Cross-site Scripting].

Beardsley afferma,

“Gli utenti di queste piattaforme potrebbero anche aver installato browser aftermarket vulnerabili. Fino a quando il gap XFO [X-Frame-Options] del Google Play Store non sarà mitigato, gli utenti di queste applicazioni web che accedono abitualmente al loro Google Account rimarranno vulnerabili.”

Beardsley prosegue spiegando che l’esecuzione di codice remoto viene ottenuta sfruttando due vulnerabilità sui dispositivi Android interessati. Dichiarando ulteriori dettagli sul modulo Metasploit,

“Innanzitutto, il modulo sfrutta una vulnerabilità di Universal Cross-Site Scripting (UXSS) presente nelle versioni del browser stock open source di Android (il browser AOSP) e in alcuni altri browser, prima della 4.4 (KitKat). In secondo luogo, l’interfaccia web del Google Play Store non riesce a imporre un’intestazione X-Frame-Options: DENY su alcune pagine di errore e, pertanto, può essere presa di mira per l’iniezione di script. Di conseguenza, questo porta all’esecuzione di codice remoto attraverso la funzione di installazione remota di Google Play, poiché qualsiasi applicazione disponibile sul Google Play Store può essere installata e avviata sul dispositivo dell’utente.”

Quindi, utilizzare un browser come Google Chrome o Mozilla Firefox, che non sono suscettibili a vulnerabilità UXSS ampiamente conosciute e non accedere al Google Play Store potrebbe aiutare a mitigare e evitare questa vulnerabilità.