Android 4.3 Jelly Bean e versioni precedenti affette da una grave vulnerabilità di esecuzione di codice

Probabilmente, se non stai utilizzando uno smartphone o un tablet Android di punta di un’azienda top come Google Motorola, Samsung, HTC o LG, allora stai utilizzando uno smartphone con la versione Android 4.3 Jelly Bean. E se stai utilizzando uno smartphone o un tablet con Android 4.3 Jelly Bean o una versione precedente, tu, o meglio il tuo smartphone/tablet, è vulnerabile a una grave vulnerabilità di esecuzione di codice. Questa vulnerabilità è stata scoperta dal Team di Sicurezza delle Applicazioni di IBM, nove mesi fa. Questa vulnerabilità è stata corretta nell’ultima versione di Android di Google, la versione 4.4 KitKat, ma Android 4.3 e le versioni Android precedenti rimangono altamente vulnerabili.

Secondo i dati più recenti disponibili, solo il 13,6% degli utenti Android totali ha Kitkat sul proprio smartphone o tablet. Ciò significa che circa l’86,4% degli smartphone e tablet Android è vulnerabile a questa vulnerabilità ad alto rischio.

• *

I ricercatori di sicurezza di IBM hanno scoperto che la vulnerabilità di overflow del buffer dello stack risiede nel servizio di archiviazione KeyStore di Android, responsabile della memorizzazione e della protezione delle chiavi crittografiche del dispositivo.

“Un buffer dello stack è creato dal metodo ‘KeyStore::getKeyForName’” “Questa funzione ha diversi chiamanti, accessibili da applicazioni esterne utilizzando l’interfaccia Binder (ad esempio, ‘android::KeyStoreProxy::get’). Pertanto, la variabile ‘keyName’ può essere controllabile con una dimensione arbitraria da un’applicazione malevola,” ha detto Hay. “La routine ‘encode_key’ che viene chiamata da ‘encode_key_for_uid’ può sovrascrivere il buffer ‘filename’, poiché il controllo dei limiti è assente.” hanno spiegato gli esperti

Chiunque abbia conoscenze di programmazione API Android può sfruttare con successo questa vulnerabilità. Una volta sfruttata, l’hacker può eseguire un codice malevolo sotto il processo keystore. Una volta eseguito, tale codice può portare a una grave fuga delle credenziali di blocco del dispositivo. Poiché la chiave master è derivata dalle credenziali di blocco, ogni volta che il dispositivo viene sbloccato, viene chiamato ‘Android::KeyStoreProxy::password’ con le credenziali.

Può anche rivelare chiavi master decrittografate, dati e identificatori di chiavi supportati dall’hardware dalla memoria e chiavi master crittografate, dati e identificatori di chiavi supportati dall’hardware dal disco per un attacco offline. Gli hacker possono anche interagire da remoto con l’archiviazione supportata dall’hardware e eseguire operazioni crittografiche (ad esempio, firma di dati arbitrari) per conto dell’utente.

• *

Un potenziale hacker in erba può teoricamente sfruttare la vulnerabilità sopra descritta che esiste in tutti i dispositivi Android precedenti alla versione Android 4.4 Kitkat, ma gli esperti ritengono che l’exploit sia piuttosto difficile da eseguire a causa della presenza di numerose difficoltà come la necessità di bypassare le protezioni basate sulla memoria native al sistema operativo, inclusi Data Execution Prevention (DEP) e Address Space Layout Randomization (ASLR). La Data Execution Prevention è una mitigazione degli exploit utilizzata per prevenire l’esecuzione di codice malevolo, ma gli attaccanti hanno avuto successo nel bypassarla utilizzando attacchi di Return Oriented Programming (ROP). L’ASLR è utilizzato per mitigare gli attacchi di overflow del buffer randomizzando le posizioni di memoria utilizzate da file di sistema e altri programmi, implementando questa tecnica è difficile indovinare la posizione di un dato processo.

• *

“Tuttavia, l’Android KeyStore viene ripristinato ogni volta che termina. Questo comportamento consente un approccio probabilistico; inoltre, l’attaccante potrebbe anche teoricamente abusare dell’ASLR per sconfiggere la codifica” afferma il post.

• *

Gli esperti hanno confermato di non aver ancora visto la vulnerabilità sfruttata in natura.