WonderHowTo

Tutto ciò che occorre sapere sulle notifiche Toast, o il terribile ritorno della vulnerabilità Cloak and Dagger

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Su Android abbiamo ormai capito che, spesso, chi non muore si rivede: è stato il caso del malware Triada, della vulnerabilità Stagefright e questa settimana entra nel novero anche la vulnerabilità Cloak and Dagger, analizzata qualche mese fa da un team di ricercatori e tornato ora alla ribalta con la scoperta di una nuova modalità d’attacco agli utenti, persino più pericolosa della precedente.

Siete pronti per scoprire come e perchè Cloak and Dagger è tornata (sfortunatamente) di moda, e chi è ATOA (acronimo per Android Toast Overlay Attack)?

Che cos'è ATOA

Scoperta da un gruppo di ricercatori internazionali coordinati dall’italiano Yanick Fratantonio, la vulnerabilità Cloak and Dagger assunse immediatamente gli onori della cronaca per via della tremenda minaccia che andava a teorizzare, suffragata da numerose prove empiriche.

In realtà, Cloak and Dagger non è stata altro che l’istituzionalizzazione di una vulnerabilità, da tempo insita nel sistema operativo, frutto di un’allegra gestione dei permessi da parte di Google. Nonostante infatti a partire da Android Marshmallow tutti gli utenti siano in grado di gestire personalmente il numero e la natura dei permessi concessi alle applicazioni, è ancora possibile per virus e malware trarre vantaggio dalle falle del sistema, che Cloak and Dagger identifica e denuncia.

Cloak and Dagger
Un esempio della strategia d’attacco di Cloak and Dagger

Ogni applicazione presente su Google Play, una volta installata, può essere monitorata nelle sue attività dall’utente attraverso gli strumenti messi a disposizione dal sistema operativo all’interno delle Impostazioni – nei fatti, un consumo anomalo di batteria, RAM, traffico dati sono tutti indicatori di un’attività sospetta. Allo stesso tempo, qualsiasi app proveniente da Google Play può godere di una particolare combinazione di due permessi Android – più specificatamente, SYSTEM_ALERT_WINDOW e BIND_ACCESSIBILITY_SERVICE. La primaconsente di visualizzare pop-up informativi sullo schermo del device, mentre la seconda è funzionale per gli sviluppatori che intendano realizzare app per persone con difficoltà visive, uditive o motorie e che dunque necessitino di supporti alternativi (come un sistema di lettura del testo, per esempio).

Nonostante si tratti di un permesso apparentemente innocuo, BIND_ACCESSIBILITY_SERVICE permette alle app in suo possesso di manipolare gli oggetti visualizzati sullo schermo, e di tracciarne la posizione. Dato che Google concede ad ogni app presente su Google Play – le uniche che siano autorizzate a servirsene – in automatico il permesso SYSTEM_ALERT_WINDOW, nel momento in cui ad un’applicazione maligna viene concesso l’accesso ai servizi di accessibilità, questa sarà in grado di visualizzare oggetti fasulli sullo schermo.

Come ATOA permette di attaccare gli smartphone degli utenti

Se dunque il funzionamento di Cloak and Dagger può apparire inquietante, non avete allora ancora preso coscienza del contenuto del bollettino elaborato da Palo Alto Networks, che estende la portata della vulnerabilità a tutti gli smartphone Android 7.1 ed inferiori ed a tutte le applicazioni Android, non solo a quelle scaricate – paradossalmente – da Google Play.

Tutto ciò è reso possibile dalle notifiche Toast – un particolare sistema di visualizzazione delle notifiche. Le notifiche Toast permettono alle app di occupare lo schermo con pop-up di diversa misura senza la richiesta di una specifica autorizzazione; generalmente, vengono utilizzate per la comunicazione di messaggi di servizio (GMail, per esempio, se ne serve per segnalare l’avvenuto salvataggio della bozza di un’email, o per confermare il suo invio). Così facendo i virus possono dunque liberarsi dalla dipendenza dal Play Store, e aumentare la già nera fama delle app scaricate al di fuori dei market autorizzati e/o affidabili.

Cloak and Dagger
Un esempio di notifica Toast

Fortunatamente, Android Oreo è immune a questa vulnerabilità, ma non possiamo dire lo stesso degli smartphone ancora fermi alle versioni inferiori – secondo infatti le ultime rilevazioni, Android Oreo non ha ancora raggiunto lo 0,1% di distribuzione. Android 7.1 dispone però di un meccanismo di sicurezza che in parte argina la portata delle notifiche Toast nella loro distruttività, ingaggiando con l’hacker autore dell’eventuale malware una piccola battaglia – facilmente superabile.

Android 7.1 infatti pone un limite temporale alla durata massima di visualizzazione delle notifiche Toast (in particolare, 3,5 secondi), consentendo l’applicazione di un solo overlay alla volta; il primo ostacolo può essere aggirato programmando il malware perchè visualizzi una nuova notifica Toast al termine di ogni countdown, mentre il secondo impedisce al virus di tracciare correttamente i tap dell’utente sullo schermo rendendo l’utilizzo della vulnerabilità decisamente più complesso. Ciononostante, l’exploit è ancora tecnicamente possibile.

Sfruttando questo complicato meccanismo, qualsiasi app malevola può comunque spingere l’utente ad autorizzare l’installazione di moduli infetti senza che questi se ne renda veramente conto. La tecnica d’attacco più comune comporta infatti l’uso di una falsa schermata – spesso per la segnalazione di un fasullo aggiornamento – che spinge l’utente a tappare su una sezione precisa dello schermo; sotto però tale area si annida un secondo pulsante, invisibile all’occhio dell’utente ma interagibile a tutti gli effetti per il sistema, che autorizza l’installazione di ben altro (un virus, un modulo per il rooting, un adware).

Come difendersi da ATOA

Per difendersi da questa nuova versione di Cloak and Dagger, potete assumere differenti atteggiamenti: il primo è certamente quello di attesa. Dato che Google ha infatti segnalato di avere risolto la vulnerabilità (identificata con il codice CVE-2017-0752) nell’ultima patch di sicurezza di Android, non vi occorrerà che attendere l’arrivo del prossimo aggiornamento da parte del vostro produttore.

Se invece il produttore del vostro smartphone non intende (com’è probabile che sia) rilasciare un ulteriore update (ehi, hai già ricevuto Marshmallow, cos’altro pretenderesti?) o non ritenete sia probabile che lo faccia, vi suggeriamo di prestare molta attenzione a tutte le schermate d’aggiornamento che vi appaiano sospette. Inoltre, vi suggeriamo di procedere all’installazione di app provenienti unicamente da store affidabili (come QUESTI), o di scansionare periodicamente il vostro device con un adeguato antivirus.

Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Fonte Palo Alto Networks
Via WIRED
Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//