Tutto ciò che occorre sapere sulle notifiche Toast, o il terribile ritorno della vulnerabilità Cloak and Dagger

Scoperta da un gruppo di ricercatori internazionali coordinati dall’italiano Yanick Fratantonio, la vulnerabilità Cloak and Dagger assunse immediatamente gli onori della cronaca per via della tremenda minaccia che andava a teorizzare, suffragata da numerose prove empiriche.

In realtà, Cloak and Dagger non è stata altro che l’istituzionalizzazione di una vulnerabilità, da tempo insita nel sistema operativo, frutto di un’allegra gestione dei permessi da parte di Google. Nonostante infatti a partire da Android Marshmallow tutti gli utenti siano in grado di gestire personalmente il numero e la natura dei permessi concessi alle applicazioni, è ancora possibile per virus e malware trarre vantaggio dalle falle del sistema, che Cloak and Dagger identifica e denuncia.

Ogni applicazione presente su Google Play, una volta installata, può essere monitorata nelle sue attività dall’utente attraverso gli strumenti messi a disposizione dal sistema operativo all’interno delle Impostazioni – nei fatti, un consumo anomalo di batteria, RAM, traffico dati sono tutti indicatori di un’attività sospetta. Allo stesso tempo, qualsiasi app proveniente da Google Play può godere di una particolare combinazione di due permessi Android – più specificatamente, SYSTEM_ALERT_WINDOW e BIND_ACCESSIBILITY_SERVICE. La primaconsente di visualizzare pop-up informativi sullo schermo del device, mentre la seconda è funzionale per gli sviluppatori che intendano realizzare app per persone con difficoltà visive, uditive o motorie e che dunque necessitino di supporti alternativi (come un sistema di lettura del testo, per esempio).

Nonostante si tratti di un permesso apparentemente innocuo, BIND_ACCESSIBILITY_SERVICE permette alle app in suo possesso di manipolare gli oggetti visualizzati sullo schermo, e di tracciarne la posizione. Dato che Google concede ad ogni app presente su Google Play – le uniche che siano autorizzate a servirsene – in automatico il permesso SYSTEM_ALERT_WINDOW, nel momento in cui ad un’applicazione maligna viene concesso l’accesso ai servizi di accessibilità, questa sarà in grado di visualizzare oggetti fasulli sullo schermo.

Se dunque il funzionamento di Cloak and Dagger può apparire inquietante, non avete allora ancora preso coscienza del contenuto del bollettino elaborato da Palo Alto Networks, che estende la portata della vulnerabilità a tutti gli smartphone Android 7.1 ed inferiori ed a tutte le applicazioni Android, non solo a quelle scaricate – paradossalmente – da Google Play.

Tutto ciò è reso possibile dalle notifiche Toast – un particolare sistema di visualizzazione delle notifiche. Le notifiche Toast permettono alle app di occupare lo schermo con pop-up di diversa misura senza la richiesta di una specifica autorizzazione; generalmente, vengono utilizzate per la comunicazione di messaggi di servizio (GMail, per esempio, se ne serve per segnalare l’avvenuto salvataggio della bozza di un’email, o per confermare il suo invio). Così facendo i virus possono dunque liberarsi dalla dipendenza dal Play Store, e aumentare la già nera fama delle app scaricate al di fuori dei market autorizzati e/o affidabili.

Fortunatamente, Android Oreo è immune a questa vulnerabilità, ma non possiamo dire lo stesso degli smartphone ancora fermi alle versioni inferiori – secondo infatti le ultime rilevazioni, Android Oreo non ha ancora raggiunto lo 0,1% di distribuzione. Android 7.1 dispone però di un meccanismo di sicurezza che in parte argina la portata delle notifiche Toast nella loro distruttività, ingaggiando con l’hacker autore dell’eventuale malware una piccola battaglia – facilmente superabile.

Android 7.1 infatti pone un limite temporale alla durata massima di visualizzazione delle notifiche Toast (in particolare, 3,5 secondi), consentendo l’applicazione di un solo overlay alla volta; il primo ostacolo può essere aggirato programmando il malware perchè visualizzi una nuova notifica Toast al termine di ogni countdown, mentre il secondo impedisce al virus di tracciare correttamente i tap dell’utente sullo schermo rendendo l’utilizzo della vulnerabilità decisamente più complesso. Ciononostante, l’exploit è ancora tecnicamente possibile.

Sfruttando questo complicato meccanismo, qualsiasi app malevola può comunque spingere l’utente ad autorizzare l’installazione di moduli infetti senza che questi se ne renda veramente conto. La tecnica d’attacco più comune comporta infatti l’uso di una falsa schermata – spesso per la segnalazione di un fasullo aggiornamento – che spinge l’utente a tappare su una sezione precisa dello schermo; sotto però tale area si annida un secondo pulsante, invisibile all’occhio dell’utente ma interagibile a tutti gli effetti per il sistema, che autorizza l’installazione di ben altro (un virus, un modulo per il rooting, un adware).

Per difendersi da questa nuova versione di Cloak and Dagger, potete assumere differenti atteggiamenti: il primo è certamente quello di attesa. Dato che Google ha infatti segnalato di avere risolto la vulnerabilità (identificata con il codice CVE-2017-0752) nell’ultima patch di sicurezza di Android, non vi occorrerà che attendere l’arrivo del prossimo aggiornamento da parte del vostro produttore.

Se invece il produttore del vostro smartphone non intende (com’è probabile che sia) rilasciare un ulteriore update (ehi, hai già ricevuto Marshmallow, cos’altro pretenderesti?) o non ritenete sia probabile che lo faccia, vi suggeriamo di prestare molta attenzione a tutte le schermate d’aggiornamento che vi appaiano sospette. Inoltre, vi suggeriamo di procedere all’installazione di app provenienti unicamente da store affidabili (come QUESTI), o di scansionare periodicamente il vostro device con un adeguato antivirus.