L'exploit della Same Origin Policy (SOP) di Android consente agli hacker di dirottare i tuoi account Facebook

Table Of Contents

• L’exploit della Same Origin Policy (SOP) di Android viene utilizzato per dirottare gli account Facebook
• Il bug

L’exploit della Same Origin Policy (SOP) di Android viene utilizzato per dirottare gli account Facebook

Un bug legacy della Same Origin Policy (SOP) di Android scoperto dal ricercatore pakistano Rafay Baloch viene utilizzato molto più ampiamente secondo una nuova ricerca pubblicata dai TrendMicro Labs. Il ricercatore di Trend Micro, Simon Huang, afferma di aver scoperto molti casi di utenti Facebook che vengono presi di mira da attacchi che sfruttano questo difetto nel browser web del sistema operativo Android inferiore alla versione 4.4, poiché il codice Metasploit è disponibile pubblicamente e molti produttori di Android devono ancora correggere questo bug.

Il bug

Il bug, scoperto da Rafay Baloch, consente una vulnerabilità universale di Cross-scripting nelle versioni più vecchie degli smartphone Android. Questa vulnerabilità, che colpisce il componente WebView, si verifica quando si sostituisce l’attributo ‘data’ di un determinato oggetto HTML con uno schema URL JavaScript. Un attaccante può sfruttare il difetto UXSS per estrarre dati sui cookie e contenuti delle pagine da una finestra del browser vulnerabile. Il buco di sicurezza può essere sfruttato su tutte le versioni del browser Android Open Source Platform (AOSP), comprese quelle che utilizzano WebView.

Rapid7 ha pubblicato il codice Metasploit (link fornito sopra) per questo difetto e lo stesso viene utilizzato pubblicamente dagli attaccanti per servire alle vittime un file JavaScript malevolo memorizzato in un account di archiviazione cloud. Questo viene fatto indirizzando il bersaglio a una certa pagina Facebook che porta a una posizione malevola. Il ricercatore di Trend, Huang, afferma che la pagina contiene codice JavaScript offuscato che tenta di caricare un URL di Facebook in un frame interno.

La vittima, tuttavia, vede solo una pagina vuota caricata secondo i tag div impostati dall’attaccante in HTML, mentre il frame interno verrà mostrato in un pixel.

Huang afferma che con il malware in atto, l’attaccante può fare quasi qualsiasi cosa con l’account Facebook della vittima. Il codice JavaScript può eseguire le seguenti attività con l’account Facebook delle vittime:

• Aggiungere amici

• Mettere mi piace e seguire le pagine Facebook

• Modificare le iscrizioni

• Autorizzare un’app Facebook ad accedere al profilo pubblico dell’utente, all’elenco degli amici, alle informazioni sul compleanno, ai mi piace e ai mi piace degli amici

• Rubare i token di accesso della vittima e caricarli sul proprio server all’indirizzo https://{BLOCKED}martforchristmas.website/walmart/j/index.php?cid=544fba6ac6988&access_token= $token;

• Raccogliere dati analitici (come la posizione delle vittime, il referrer HTTP, ecc.) utilizzando il servizio legittimo all’indirizzo https://whos.{BLOCKED}ung.us/pingjs/

• Oltre al codice presente nel sito sopra, Trend ha trovato un attacco simile all’indirizzo https://www.{BLOCKED}php.com/x/toplu.php. I ricercatori di Trend credono che entrambi siano stati creati dallo stesso autore poiché condividono diversi nomi di funzione, così come il client_id dell’app Facebook.

I ricercatori di Trend Micro hanno scoperto che il client_id coinvolto in questo malware era “2254487659”. Questo è un’app ufficiale di BlackBerry mantenuta da BlackBerry.

Trend Micro ha quindi contattato BlackBerry riguardo alle loro scoperte. Hanno informato BlackBerry che gli attaccanti volevano sfruttare la fiducia nel nome di BlackBerry e il malware stava cercando di rubare i token di accesso degli utenti, che potrebbero essere utilizzati per effettuare richieste alle API di Facebook e leggere le informazioni degli utenti o pubblicare contenuti su Facebook per conto della vittima. BlackBerry ha rilasciato questa dichiarazione dopo che Trend li ha contattati:

“Il malware mobile che utilizza l’exploit SOP di Android (Android Same Origin Policy Bypass Exploit) è progettato per prendere di mira gli utenti di Facebook indipendentemente dalla loro piattaforma di dispositivo mobile. Tuttavia, cerca di sfruttare il marchio fidato di BlackBerry utilizzando la nostra app web di Facebook. BlackBerry sta lavorando continuamente con Trend Micro e Facebook per rilevare e mitigare questo attacco. Si noti che il problema non è il risultato di un exploit dell’hardware, del software o della rete di BlackBerry.”

Al momento, Trend Micro, Facebook e BlackBerry stanno lavorando insieme per rilevare l’attacco e prevenire che venga effettuato contro nuovi utenti.

Il bug SOP di Android è presente da settembre 2014 e tutti i dispositivi Android fino alla versione 4.4 KitKat sono vulnerabili a questo difetto. Ci sono milioni di smartphone Android che funzionano con versioni più vecchie del sistema operativo Android che possono essere utilizzati per sfruttare questo bug e compiere attività illecite da parte dei criminali informatici. La maggior parte degli smartphone economici funziona con versioni più vecchie di Android, rendendo il lavoro dei criminali informatici molto più facile. Se sei un proprietario di uno smartphone Android, aggiorna il tuo smartphone all’ultima versione Android 5.1 Lollipop il prima possibile. Se stai ancora utilizzando uno smartphone che funziona con una versione obsoleta di Android, ora è il momento di buttarlo.