Mantello e pugnale Android exploit: ruba la password e registra le battiture

I ricercatori del Georgia Institute of Technology e dell'Università della California, Santa Barbara, hanno pubblicato un rapporto in cui sono indicate diverse vulnerabilità rilevate con i sistemi operativi Android Lollipop, Marshmallow e Nougat.

Secondo i ricercatori, le app dannose hanno la capacità di sfruttare due autorizzazioni sul Play Store: il "disegno in alto" e il "servizio di accessibilità".

Gli utenti potrebbero essere attaccati utilizzando una di queste vulnerabilità o entrambe. L'aggressore può fare clic, registrare sequenze di tasti, rubare il PIN di sicurezza del dispositivo, inserire adware nel dispositivo e anche generare token di autenticazione a due fattori.

Leggi anche: 5 suggerimenti per impedire che il tuo dispositivo Android venga colpito da Ransomware.

"Cloak & Dagger è una nuova classe di potenziali attacchi che colpiscono i dispositivi Android. Questi attacchi consentono a un'app dannosa di controllare completamente il ciclo di feedback dell'interfaccia utente e di assumere il controllo del dispositivo, senza dare all'utente la possibilità di notare l'attività dannosa ", hanno osservato i ricercatori.

Questa vulnerabilità era stata scoperta troppo presto

All'inizio di questo mese, avevamo segnalato una simile vulnerabilità non corretta nel sistema operativo Android che utilizzava l'autorizzazione "System_Alert_Window" utilizzata per "disegnare in alto".

In precedenza, questa autorizzazione - System_Alert_Window - doveva essere concessa manualmente dall'utente, ma con l'avvento di app come Facebook Messenger e altre che utilizzano i popup sullo schermo, Google lo concede per impostazione predefinita.

Sebbene la vulnerabilità, se sfruttata, possa portare a un attacco ransomware o adware a tutti gli effetti, non sarà facile avviare un hacker.

Questa autorizzazione è responsabile per il 74% di ransomware, il 57% di adware e il 14% di attacchi di malware sui banchieri su dispositivi Android.

Tutte le app che scarichi dal Play Store vengono scansionate alla ricerca di codici e macro dannosi. Pertanto, l'attaccante dovrà aggirare il sistema di sicurezza integrato di Google per accedere all'app store.

Google ha recentemente aggiornato anche il suo sistema operativo mobile con un ulteriore livello di sicurezza che esegue la scansione di tutte le app che vengono scaricate sul dispositivo tramite il Play Store.

Usando Android Safe adesso?

Le app dannose che vengono scaricate dal Play Store ottengono automaticamente le due suddette autorizzazioni, il che consente a un utente malintenzionato di danneggiare il dispositivo nei seguenti modi:

• Invisible Grid Attack: l'attaccante traccia un overlay invisibile sul dispositivo, consentendo loro di registrare i tasti premuti.
• Rubare il PIN del dispositivo e utilizzarlo in background anche quando lo schermo è spento.
• Iniezione di adware nel dispositivo.
• Esplorare il Web e phishing di nascosto.

I ricercatori hanno contattato Google in merito alle vulnerabilità rilevate e hanno confermato che sebbene l'azienda abbia implementato correzioni, non sono infallibili.

L'aggiornamento disabilita le sovrapposizioni, che impediscono l'attacco invisibile alla griglia, ma il clickjacking è ancora possibile in quanto queste autorizzazioni possono essere sbloccate da un'app dannosa utilizzando il metodo di sblocco del telefono anche quando lo schermo è spento.

La tastiera di Google ha anche ricevuto un aggiornamento che non impedisce la registrazione dei tasti ma garantisce che le password non siano trapelate come ogni volta che si immette valore in un campo password, ora la tastiera registra le password come un "punto" anziché il carattere effettivo.

Ma c'è anche un modo per aggirare questo che può essere sfruttato dagli aggressori.

"Poiché è possibile enumerare i widget e i loro hashcode progettati per essere pseudo-unici, gli hashcode sono sufficienti per determinare quale pulsante della tastiera è stato effettivamente cliccato dall'utente", hanno sottolineato i ricercatori.

Leggi anche: 13 fantastiche funzionalità Android in arrivo svelate da Google.

Tutte le vulnerabilità che la ricerca ha scoperto sono ancora soggette a un attacco anche se l'ultima versione di Android ha ricevuto una patch di sicurezza il 5 maggio.

I ricercatori hanno inviato un'app al Google Play Store che richiedeva le due suddette autorizzazioni e mostrava chiaramente intenzioni dannose, ma è stata approvata ed è ancora disponibile sul Play Store. Questo dimostra che la sicurezza del Play Store non funziona molto bene.

Qual è la scommessa migliore per rimanere al sicuro?

Controllare e disabilitare entrambe queste autorizzazioni manualmente per qualsiasi app non attendibile che ha accesso a una o entrambe le opzioni è la soluzione migliore

Ecco come puoi verificare quali app hanno accesso a queste due autorizzazioni "speciali" sul tuo dispositivo.

• Torrone Android: " disegna in alto" - Impostazioni -> App -> "Simbolo dell'ingranaggio (in alto a destra) -> Accesso speciale -> Disegna su altre app

  'a11y': Impostazioni -> Accessibilità -> Servizi: controlla quali app richiedono a11y.

• Android Marshmallow: "disegna in alto" - Impostazioni -> App -> "Simbolo dell'ingranaggio" (in alto a destra) -> Disegna su altre app.

  a11y: Impostazioni → Accessibilità → Servizi: controlla quali app richiedono a11y.

• Android Lollipop: "disegna in alto" - Impostazioni -> App -> fai clic su una singola app e cerca "disegna su altre app"

  a11y: Impostazioni -> Accessibilità -> Servizi: controlla quali app richiedono a11y.

Google fornirà ulteriori aggiornamenti di sicurezza per risolvere i problemi riscontrati dai ricercatori.

Leggi anche: Ecco come rimuovere Ransomware dal tuo telefono.

Mentre molte di queste vulnerabilità verranno risolte dai seguenti aggiornamenti, i problemi relativi all'autorizzazione "Disegna in alto" rimarranno attivi fino al rilascio di Android O.

I rischi per la sicurezza su Internet stanno crescendo su vasta scala e attualmente, l'unico modo per proteggere il tuo dispositivo è installare un software antivirus affidabile ed essere un vigilante.