Nuovo attacco Man-in-the-Middle chiamato DoubleDirect Attack che colpisce gli utenti Android e iPhone

Table Of Contents

• Nuovo attacco Man-in-the-Middle chiamato DoubleDirect Attack che colpisce gli utenti Android e iPhone
• DoubleDirect
• Come funziona DoubleDirect
• Chi è a rischio?

Nuovo attacco Man-in-the-Middle chiamato DoubleDirect Attack che colpisce gli utenti Android e iPhone

I ricercatori di Zimperium Mobile Security Labs hanno scoperto che i criminali informatici stanno utilizzando un nuovo metodo di attacco Man-in-the-Middle per colpire gli utenti di smartphone Android e iPhone con grande successo. I ricercatori di Zimperium hanno chiamato questo nuovo attacco DoubleDirect Attack.

DoubleDirect

La cosiddetta tecnica DoubleDirect consente a un attaccante di reindirizzare il traffico di una vittima verso il dispositivo dell’attaccante. Una volta reindirizzato, l’attaccante può rubare credenziali e consegnare payload dannosi al dispositivo mobile della vittima che possono non solo infettare rapidamente il dispositivo, ma anche diffondersi in tutta la rete aziendale”, secondo la società di sicurezza mobile Zimperium.

Zimperium ha anche rilevato che la tecnica DoubleDirect è stata utilizzata contro i clienti di siti web di alto profilo come Google, Facebook, Twitter, Hotmail, Live.com, Naver.com (coreano) e altri. Zimperium afferma che il metodo di attacco viene sfruttato ampiamente in almeno 31 paesi in tutto il mondo, vale a dire, Serbia • Australia • Iraq • Kazakistan • Polonia • Indonesia • Israele • Lettonia • Finlandia • Messico • Egitto • Regno Unito • Austria • Colombia • Grecia • Brasile • Canada • Francia • Algeria • Federazione Russa • Svizzera • Italia • Germania • Spagna • Arabia Saudita • Paesi Bassi • India • Malta • Bahrein • Stati Uniti e Cina.

I ricercatori di Zimperium affermano che il principale obiettivo dei criminali informatici che utilizzano l’attacco DoubleDirect è ottenere informazioni riservate delle vittime, indirizzi email e credenziali, informazioni bancarie e credenziali e altre password.

Come funziona DoubleDirect

Gli attaccanti che utilizzano il metodo DoubleDirect usano pacchetti ICMP Redirect (tipo 5) per modificare le tabelle di routing di un host. Questo metodo è legittimamente utilizzato dai router per notificare agli host sulla rete che è disponibile un percorso migliore per una particolare destinazione. Tuttavia, nel caso dell’attacco DoubleDirect, l’attaccante utilizza pacchetti ICMP Redirect per alterare le tabelle di routing sull’host della vittima, causando il flusso del traffico attraverso un percorso di rete arbitrario per un particolare IP. Di conseguenza, l’attaccante può lanciare un attacco MITM, reindirizzando il traffico della vittima verso il proprio dispositivo. Una volta reindirizzato, l’attaccante può compromettere il dispositivo mobile concatenando l’attacco con una vulnerabilità Client Side aggiuntiva (ad es.: vulnerabilità del browser), e a sua volta, fornire all’attaccante accesso alla rete aziendale.

I ricercatori di Zimperium hanno scoperto che nel caso dell’attacco DoubleDirect gli hacker stanno utilizzando un’implementazione precedentemente sconosciuta per ottenere MITM full-duplex utilizzando ICMP Redirect. Gli attacchi ICMP Redirect tradizionali hanno limitazioni e sono noti per essere MITM half-duplex.

Zimperium Mobile Security Labs ha ricercato le minacce e ha determinato che gli attaccanti sono in grado di prevedere gli IP a cui accede la vittima. Zimperium ha caricato una completa Proof of Concept per l’attacco DoubleDirect che può essere scaricata qui.

Chi è a rischio?

iOS: I ricercatori di Zimperium hanno notato che l’attacco DoubleDirect funziona sulle ultime versioni di iOS, inclusa iOS 8.1.1, quindi tutti gli iPhone sono vulnerabili a questo attacco.

Android: I ricercatori di Zimperium hanno dichiarato che l’attacco DoubleDirect ha funzionato sulla maggior parte dei dispositivi Android, incluso Nexus 5 con l’ultima versione di Android OS 5.0 lollipop.

Mac OS X Yosemite: I ricercatori di Zimperium affermano che gli utenti di Mac OS X Yosemite sono anche potenzialmente vulnerabili, ma gli utenti di Windows e Linux sembrerebbero essere immuni poiché sia Windows OS che Linux non accettano pacchetti di reindirizzamento ICMP che trasportano traffico dannoso per impostazione predefinita.

Né Google né Apple hanno commentato ufficialmente le scoperte dei ricercatori di Zimperium fino ad ora.