Oltre la metà dei dispositivi Android vulnerabili a un bug di controllo remoto tramite un'app simile falsa

Questo sembra essere un brutto mese per Google e per il team di sicurezza Android in particolare, perché da quando è iniziato il mese, sono state segnalate importanti vulnerabilità nel sistema operativo Android. Prima è stata la vulnerabilità Stagefright che potrebbe consentire agli hacker di far crashare il tuo smartphone semplicemente inviando un messaggio multimediale. Poi è arrivata la vulnerabilità Silent Attack, che era l’estensione di Stagefright e potrebbe consentire agli hacker di accedere in remoto allo smartphone Android senza il consenso o la conoscenza del proprietario.

Ora, il team di ricerca sulla sicurezza delle applicazioni X-Force di IBM ha scoperto un’altra vulnerabilità critica negli smartphone e nei tablet Android. Il difetto, che colpisce le versioni del sistema operativo Android 4.3 Jelly Bean fino a Android 5.1 Lollipop e anche l’ultima versione Android M Preview 1, consente agli hacker di controllare in remoto un dispositivo mirato.

Poiché questo difetto colpisce tutti i dispositivi che eseguono Jelly Bean e versioni superiori, quasi metà degli smartphone attivi nel mondo sono interessati da questo bug. La vulnerabilità è stata soprannominata vulnerabilità di serializzazione Android ed è stata assegnata il CVE-2015-3825.

La vulnerabilità di serializzazione Android consente a un’app malevola senza privilegi di ottenere il pieno controllo di un dispositivo tramite l’esecuzione di codice remoto. Ciò significa che gli hacker possono quindi sostituire un’applicazione legittima e fidata con una simile ‘ Super App ‘ per ingannare l’utente a inserire dettagli personali.

Or Peles del team di ricerca sulla sicurezza delle applicazioni X-Force di IBM ha spiegato in un post sul blog che il difetto non è stato ancora sfruttato in natura, ma ha affermato che “con il giusto focus e gli strumenti, le app malevole hanno la capacità di eludere anche gli utenti più attenti alla sicurezza.”

“L’exploit PoC che abbiamo creato attacca il processo system_server altamente privilegiato. Sfruttare system_server consente l’escalation dei privilegi all’utente di sistema con un profilo SELinux piuttosto rilassato (a causa delle molte responsabilità di system_server), il che consente all’attaccante di causare molti danni. Ad esempio, un attaccante può prendere il controllo di qualsiasi applicazione sul dispositivo della vittima sostituendo il pacchetto dell’applicazione Android (APK) dell’app target. Questo può quindi consentire all’attaccante di eseguire azioni per conto della vittima. Inoltre, siamo stati in grado di eseguire comandi shell per estrarre dati da tutte le applicazioni installate sul dispositivo sfruttando l’app Android Keychain. Potremmo anche cambiare la politica SELinux e, su alcuni dispositivi, caricare anche moduli del kernel malevoli.”

Una volta eseguito il malware, sostituisce un’app reale con una falsa, il che consente all’attaccante di rubare informazioni sensibili dall’app o di creare un attacco di phishing convincente.

Peles ha affermato che il suo team ha anche trovato vulnerabilità in diversi SDK Android di terze parti, consentendo l’esecuzione di codice arbitrario che potrebbe consentire agli attaccanti di rubare informazioni sensibili dalle app interessate.

“Le vulnerabilità scoperte sono il risultato della capacità dell’attaccante di controllare i valori dei puntatori durante la deserializzazione degli oggetti nello spazio di memoria di app arbitrarie, che viene poi utilizzato dal codice nativo dell’app invocato dal garbage collector (GC) del runtime,” ha aggiunto. Gli sviluppatori approfittano delle classi all’interno della piattaforma Android e degli SDK. Queste classi forniscono funzionalità per le app – ad esempio, l’accesso alla rete o alla fotocamera del telefono.” “La vulnerabilità che abbiamo trovato può essere sfruttata dal malware attraverso il canale di comunicazione che avviene tra app o servizi. Poiché le informazioni vengono suddivise e ricomposte, il codice malevolo viene inserito in questo flusso, sfrutta la vulnerabilità all’altra estremità e poi possiede il dispositivo.”

Il team di ricerca X-Force ha notificato Google, che ha già rilasciato una patch per il difetto. La ricerca X-Force può essere trovata qui.