Android Tapjacking, la vulnerabilità di Android Marshmallow di cui nessuno si è accorto

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Chi si ricorda del tapjacking? Gli utenti Android più anziani ed informati si ricorderanno della terribile vulnerabilità che, a partire da Android 2.3, permetteva ad applicazioni infette di coprire i pop-up di richieste di lettura di informazioni personali e permessi con innocue schermate secondarie, permettendo ai malware di garantirsi una vasta capacità d’azione senza che l’utente fosse cosciente di quanto stesse accadendo o di quali permessi in realtà stesse garantendo l’accesso.

Tapjacking è dunque una vulnerabilità temibile che potrebbe spingere migliaia di utenti a cedere a spyware e trojan informazioni di una certa sensibilità; nonostante si ritenesse che Android Marshmallow avesse risolto il problema attraverso una patch di sicurezza, gli esperti di XDA Developers hanno invece scoperto che non solo tapjacking è ancora una ferita aperta, ma che Google è venuta meno alle sue stesse regole per accontentare gli sviluppatori (Facebook sopra tutti).

Siete pronti per scoprire tutti i dettagli di questa sordida storia?

Che cos’è Tapjacking

Tapjacking non si classifica come una tipologia di malware, nonostante lasci adito a tali conclusioni, ma è piuttosto una vulnerabilità di Android insita nel codice del sistema operativo.

La storia di Android Tapjacking nasce infatti con il rilascio di Android 2.3 che permetteva al SO di identificare la presenza di una finestra a copertura della schermata in uso; attraverso tale espediente infatti malware e trojan potevano nascondere richieste di accesso a permessi e sezioni sensibili dello smartphone mascherandole con innocue schermate superiori (come è già successo).

tapjacking-vulnerabilità-marshmallow-3
Android Tapjacking può coprire le richieste di permessi con schermate differenti e più innocue

La novità di Android 2.3 non risolveva però il problema poichè virus ed altre minacce avrebbero potuto comunque coprire solamente una parte del messaggio, utilizzando un overlay parziale per nascondere una richiesta di accesso ai contatti – o ai permessi di amministratore di dispositivo – con una richiesta meno minacciosa (accesso ad Internet, per esempio) e lasciando intatti i pulsanti di conferma o diniego dell’operazione. E con l’arrivo di Android Marshmallow il problema si è acuito, dato il capillare sistema di concessione dei permessi visualizzati nella forma di schermate di dialogo fluttuanti; nonostante le nuove API di livello 23 avrebbero dovuto risolvere una volta per tutte la vulnerabilità delle API di livello 22 e inferiori, gli sviluppatori di XDA hanno verificato che quanto si sperava avvenisse non è in realtà accaduto, perlomeno non in maniera uniforme nè univoca.

L’unica patch in grado di porre fine ad Android Tapjacking è contenuta solamente nelle ultime build di Android 6.0.1, mentre le prime versioni di quest’ultimo aggiornamento (e, naturalmente, tutte le versioni antecedenti) sono ancora suscettibili all’exploit per via del tardivo riconoscimento da parte di Google della vulnerabilità.

Google ha sottovalutato la minaccia?

La domanda, anzi, l’accusa che gli sviluppatori di XDA rivolgono al colosso della casa di Mountain View riguarda la concessione del permesso SYSTEM_ALERT_WINDOW, considerato da Google stessa una richiesta tanto sensibile da richiedere una schermata dedicata nelle Impostazioni del device.

tapjacking-vulnerabilità-marshmallow-5
Le righe di codice che dimostrano che Messenger possiede l’accesso automatico all’overlay

Mentre infatti prima dell’arrivo di Android Marshmallow le applicazioni avrebbero dovuto fare uso del permesso TYPE_SYSTEM_OVERLAY per creare schermate e pop-up a comparsa all’interno della propria app o per permetterle di gestire notifiche fluttuanti (come Facebook Messenger, per esempio), con la versione 6.0 del sistema operativo di Google il cambiamento della modalità di gestione dei permessi non ha comunque modificato l’atteggiamento nei confronti del permesso SYSTEM_ALERT_WINDOW, che continua a richiedere un processo di attivazione a parte.

Ciò che allarma gli sviluppatori – e che dovrebbe mettere in stato di allerta gli utenti stessi – riguarda l’elasticità di Google su un tema tanto delicato: scaricando ad esempio l’app Messenger da Google Play si può notare come il permesso SYSTEM_ALERT_WINDOW sia già automaticamente concesso, a dispetto della regola che la casa di Mountain View ha contribuito a creare! Ciò non accade se, per esempio, l’applicazione viene scaricata da fonti terze, a conferma di quanto sospettato: Google ha preferito mettere a silenzio le pesanti proteste degli sviluppatori – i quali reclamavano che la fase di concessione del permesso fosse troppo laboriosa e complicata – concedendo a determinate app di ottenere di default l’accesso all’overlay.

Come difendersi da Tapjacking

Gli sviluppatori di XDA hanno eseguito alcuni test su vari dispositivi e visionato i codici sorgente degli aggiornamenti: attualmente smartphone come OnePlus 2, Samsung Galaxy Note 7, Nexus 6 & 6P non sono vulnerabili, mentre risultano sensibili alla vulnerabilità Honor 8, Motorola Moto X Pure & G4 e Nextbit Robin.

tapjacking-vulnerabilità-marshmallow-4

Qualora il vostro device non rientri in questa lista vi sarà sufficiente installare QUESTA app e QUESTO servizio secondario ad essa collegato per verificare la possibilità che Tapjacking possa ancora minacciare il vostro dispositivo; vi sarà sufficiente scaricare i file APK, installarli e lanciare la prima applicazione, avviando la fase di test: se il testo a copertura del permesso verrà visualizzato fuori dal riquadro di accesso ai contatti (come nell’immagine), allora siete al sicuro.

Viceversa, c’è ben poco da fare: l’unica fonte che potrebbe rilasciare gli strumenti utili per neutralizzare Tapjacking è Google stessa; vi suggeriamo dunque di installare sempre l’ultima versione disponibile del sistema operativo e di evitare moduli Xposed che potrebbero fornire un vantaggio a malware intenzionati a sfruttare Android Tapjacking a proprio vantaggi (come NoOverlayWarning).

Preoccupato per la tua sicurezza? Scopri QUI le 7 Impostazioni del tuo smartphone che potrai utilizzare a tuo vantaggio per aumentare la privacy e la sicurezza!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

[wysija_form id=”3″]

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//