Tutto ciò che occorre sapere su “Cloak and Dagger”, la terribile vulnerabilità che Google sottovaluta

Un gruppo di ricercatori ha avvertito Google dei pericoli di una grossa vulnerabilità, ma la società sembra non curarsene particolarmente

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Che il sistema operativo di Google non sia considerato la piattaforma più sicura al mondo, non è una particolare novità: nessun utente Android che non viva al di sotto di una pietra nel centro di un deserto roccioso non conoscerà le decine di vulnerabilità, malware e virus che annualmente colpiscono Android.

Questa volta, a riscuotere l’attenzione dei media è una vulnerabilità del tutto particolare, chiamata “Cloak and Dagger” dai suoi scopritori e che basa il proprio funzionamento sulla concessione indiscriminata di due permessi: “SYSTEM_ALERT_WINDOW” e “BIND_ACCESSIBILITY_SERVICE”, rispettivamente il “Cloack” (“mantello“) e il “Dagger” (“pugnale“), che come potrete notare non vengono nemmeno considerati come permessi veri e propri dal sistema operativo.

Siete pronti per scoprire tutto ciò che occorre sapere sulla vulnerabilità chiamata “Cloak and Dagger”?

Che cos'è Cloak and Dagger

La vulnerabilità Cloak and Dagger è stata per la prima volta scoperta e segnalata da un team di quattro ricercatori: il referente, Yanik Frantantonio, dell’Università della California, ed altri tre studiosi del Georgia Insistute of Technology, ed è il risultato di una ricerca iniziata nel 2016 e terminata con la pubblicazione di un paper e l’apertura di un sito di segnalazione della vulnerabilità, resosi necessario dopo la risposta negativa da parte di Google.

cloak and dagger
No, Google non risolverà la vulnerabilità tanto presto

La società di Mountain View ha infatti risposto con un “won’t fix alle segnalazioni avanzate dai ricercatori, dopo che questi avevano presentato prove e analisi dettagliate delle pericolose conseguenze che l’abuso di due particolari autorizzazioni possono causare.

Stiamo parlando dei permessi che, all’interno delle Impostazioni di Android, si possono trovare sotto le voci “Spostamento su altre app e “Accessibilità (corrispondenti ai permessi “SYSTEM_ALERT_WINDOW” e “BIND_ACCESSIBILITY_SERVICE“) e che nella gran parte dei casi non vengono né notificati né segnalati all’utente nel momento in cui vengono concessi alle applicazioni in installazione.

I pericoli derivanti dall’attribuzione indiscriminata dei permessi di spostamento dei contenuti sopra le schermate di altre applicazioni sono già stati descritti e presentati nei mesi passati, e la vulnerabilità Cloak and Dagger non rappresenta nemmeno il primo esempio del genere; circa sei mesi fa venne indicata dai ricercatori XDA l’exploit Android Tapjacking, e che esponeva i pericoli dell’accostamento e della concessione dei permessi “TYPE_SYSTEM_OVERLAY e “SYSTEM_ALERT_WINDOW“.

Come Cloak and Dagger può permettere di attaccare gli utenti

Cloak and Dagger non è il nome di un virus bensì di una vulnerabilità, e dunque non è possibile esporre le modalità di attacco che un malware che ne adotti le strategie di penetrazione delle difese dello smartphone; ciò inoltre è anche dovuto dalla decisione, da parte dei ricercatori autori della scoperta, di mantenere segreta la “proof-of-concept – dato che Google non intende correre ai ripari, per il momento.

Ciononostante, possiamo semplicemente intuire quali passaggi un hacker intenda seguire per sfruttare la combinazione dei permessi “SYSTEM_ALERT_WINDOW” e “BIND_ACCESSIBILITY_SERVICE” – va ricordato che il primo consente alle applicazioni di sovrascrivere le schermate sottostanti per la visualizzazione di contenuti pop-up, mentre il secondo funge da legittimo sistema di accesso per persone con disabilità fisiche e visive.

Un’app maligna potrebbe dunque unire i raggi d’azione concessi dai due permessi per visualizzare una schermata fasulla d’accesso al di sopra dell’applicazione legittima lanciata dall’utente – un social network così come un’app relativa ad una banca o un servizio di pagamenti online – dalla quale il malware estrarrebbe le credenziali d’accesso, da inserire poi nei campi sottostanti invisibili all’occhio dell’utente. I due permessi hanno un’inusitata capacità di eseguire il mapping di password, digitazioni e scrittura, così da permettere l’estrazione di qualsiasi password.

Nonostante infatti Google abbia cercato, in maniera piuttosto maldestra, di riparare al problema – persino inserendo una modalità di anti-tracciamento nella Google Keyboard, nonostante sia comunque possibile scoprire la chiave di decifratura del codice adottato per nascondere le digitazioni – la minaccia è ancora e quantomeno reale.

Come difendersi da Cloak and Dagger

Così come gli stessi ricercatori riportano, hanno sottoposto la vulnerabilità (attraverso un’applicazione regolarmente caricata su Google Play ed accettata dai sistemi di revisione dello store di Android) a 20 utenti, nessuno dei quali ha sospettato di essere vittima di un attacco hacker di tale genere.

Il problema di fondo che gli analisti segnalano è dato dalla concessione automatica dei due permessi alle app che ne facciano uso, anomalia che era già stata riscontrata durante la segnalazione della vulnerabilità Android Tapjacking; in particolare, “SYSTEM_ALERT_WINDOW” viene accordato poichè solitamente utilizzato da app di chat e messaggistica per la visualizzazione di conversazioni sottoforma di chat bubble, ma non è sempre questo il caso.

Nell’esempio sopra riportato, i ricercatori hanno affermato di aver dato all’app caricata su Google Play anche il comando di eseguire righe di codice arbitrarie, che Google ha ritenuto legittimo ma che in casi estremi potrebbe consentire a virus e malware di installare app infette, moduli e persino un’app “God-mode, ossia capace di prendere il controllo completo dello smartphone senza che l’utente sia in grado di fare alcunchè.

Dato che Android non segnala i due permessi al momento dell’installazione, vi consigliamo periodicamente di eseguire un tour nelle sezioni presenti sotto:

  • Impostazioni” > “App” > Simbolo ad ingranaggio > “Spostamento su altre app“;
  • Impostazioni” > “Avanzate” > “Accessibilità

E da qui verificare che le app a cui i permessi sono stati concessi ne abbiano veramente bisogno (Facebook, per esempio, e non un gioco pirata scaricato online).

Ti preoccupi per la sicurezza del tuo smartphone? Scopri QUI come capire se il tuo device è stato infettato!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Fonte Cloak and Dagger.org
Commenti
//