Tutto ciò che occorre sapere su “Cloak and Dagger”, la terribile vulnerabilità che Google sottovaluta

La vulnerabilità Cloak and Dagger è stata per la prima volta scoperta e segnalata da un team di quattro ricercatori: il referente, Yanik Frantantonio, dell’Università della California, ed altri tre studiosi del Georgia Insistute of Technology, ed è il risultato di una ricerca iniziata nel 2016 e terminata con la pubblicazione di un paper e l’apertura di un sito di segnalazione della vulnerabilità, resosi necessario dopo la risposta negativa da parte di Google.

La società di Mountain View ha infatti risposto con un “won’t fix” alle segnalazioni avanzate dai ricercatori, dopo che questi avevano presentato prove e analisi dettagliate delle pericolose conseguenze che l’abuso di due particolari autorizzazioni possono causare.

Stiamo parlando dei permessi che, all’interno delle Impostazioni di Android, si possono trovare sotto le voci “Spostamento su altre app” e “Accessibilità” (corrispondenti ai permessi “SYSTEM_ALERT_WINDOW” e “BIND_ACCESSIBILITY_SERVICE“) e che nella gran parte dei casi non vengono né notificati né segnalati all’utente nel momento in cui vengono concessi alle applicazioni in installazione.

I pericoli derivanti dall’attribuzione indiscriminata dei permessi di spostamento dei contenuti sopra le schermate di altre applicazioni sono già stati descritti e presentati nei mesi passati, e la vulnerabilità Cloak and Dagger non rappresenta nemmeno il primo esempio del genere; circa sei mesi fa venne indicata dai ricercatori XDA l’exploit Android Tapjacking, e che esponeva i pericoli dell’accostamento e della concessione dei permessi “TYPE_SYSTEM_OVERLAY“ e “SYSTEM_ALERT_WINDOW“.

Cloak and Dagger non è il nome di un virus bensì di una vulnerabilità, e dunque non è possibile esporre le modalità di attacco che un malware che ne adotti le strategie di penetrazione delle difese dello smartphone; ciò inoltre è anche dovuto dalla decisione, da parte dei ricercatori autori della scoperta, di mantenere segreta la “proof-of-concept“ – dato che Google non intende correre ai ripari, per il momento.

Ciononostante, possiamo semplicemente intuire quali passaggi un hacker intenda seguire per sfruttare la combinazione dei permessi “SYSTEM_ALERT_WINDOW” e “BIND_ACCESSIBILITY_SERVICE” – va ricordato che il primo consente alle applicazioni di sovrascrivere le schermate sottostanti per la visualizzazione di contenuti pop-up, mentre il secondo funge da legittimo sistema di accesso per persone con disabilità fisiche e visive.

Un’app maligna potrebbe dunque unire i raggi d’azione concessi dai due permessi per visualizzare una schermata fasulla d’accesso al di sopra dell’applicazione legittima lanciata dall’utente – un social network così come un’app relativa ad una banca o un servizio di pagamenti online – dalla quale il malware estrarrebbe le credenziali d’accesso, da inserire poi nei campi sottostanti invisibili all’occhio dell’utente. I due permessi hanno un’inusitata capacità di eseguire il mapping di password, digitazioni e scrittura, così da permettere l’estrazione di qualsiasi password.

Nonostante infatti Google abbia cercato, in maniera piuttosto maldestra, di riparare al problema – persino inserendo una modalità di anti-tracciamento nella Google Keyboard, nonostante sia comunque possibile scoprire la chiave di decifratura del codice adottato per nascondere le digitazioni – la minaccia è ancora e quantomeno reale.

Così come gli stessi ricercatori riportano, hanno sottoposto la vulnerabilità (attraverso un’applicazione regolarmente caricata su Google Play ed accettata dai sistemi di revisione dello store di Android) a 20 utenti, nessuno dei quali ha sospettato di essere vittima di un attacco hacker di tale genere.

Il problema di fondo che gli analisti segnalano è dato dalla concessione automatica dei due permessi alle app che ne facciano uso, anomalia che era già stata riscontrata durante la segnalazione della vulnerabilità Android Tapjacking; in particolare, “SYSTEM_ALERT_WINDOW” viene accordato poichè solitamente utilizzato da app di chat e messaggistica per la visualizzazione di conversazioni sottoforma di chat bubble, ma non è sempre questo il caso.

Dove trovare i permessi incriminati

Prec
1 di 2
Succ

Nell’esempio sopra riportato, i ricercatori hanno affermato di aver dato all’app caricata su Google Play anche il comando di eseguire righe di codice arbitrarie, che Google ha ritenuto legittimo ma che in casi estremi potrebbe consentire a virus e malware di installare app infette, moduli e persino un’app “God-mode“, ossia capace di prendere il controllo completo dello smartphone senza che l’utente sia in grado di fare alcunchè.

Dato che Android non segnala i due permessi al momento dell’installazione, vi consigliamo periodicamente di eseguire un tour nelle sezioni presenti sotto:

• “Impostazioni” > “App” > Simbolo ad ingranaggio > “Spostamento su altre app“;
• “Impostazioni” > “Avanzate” > “Accessibilità“

E da qui verificare che le app a cui i permessi sono stati concessi ne abbiano veramente bisogno (Facebook, per esempio, e non un gioco pirata scaricato online).