Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.
Per oltre cinque anni, una vulnerabilità era rimasta silenziosamente nascosta all’interno del sistema di visualizzazione delle applicazioni WebView, rendendo le Android Instant Apps una minaccia per la sicurezza degli smartphone degli utenti. Fortunatamente, le Instant Apps – dopo un’iniziale boost – non si sono mai diffuse granché nell’ecosistema Android, riducendo e di molto la portata della vulnerabilità – che rimane comunque grave.
Siete pronti per scoprire come e perché la vulnerabilità di Android WebView avrebbe potuto causarvi la perdita di importantissimi dati personali?
Che cos'è una vulnerabilità Android
Una vulnerabilità, all’interno dell’ecosistema Android, è una falla dovuta ad un errore di programmazione o a un bug; essa consente ad hacker professionisti di ottenere, in maniera indebita, informazioni personali e sensibili (come i dati della carta di credito, le password di accesso a conti correnti o social network) o persino l’accesso ai dispositivi delle malcapitate vittime nei casi più gravi.
La vulnerabilità scoperta da Positive Technologies si riferisce al sistema di visualizzazione delle pagine web WebView, componente di Chromium – piattaforma di proprietà di Google e base di sviluppo per browser estremamente popolari su Android, come Chrome, Yandex Browser e Samsung Internet. Tale vulnerabilità era presente su Android da oltre cinque anni, precisamente sin dall’introduzione di Android KitKat 4.4 nel 2013 – lo stesso anno in cui fece capolino “OK Google” nell’universo Android, e le emoji entrarono a fare parte della tastiera di Google. A renderla estremamente minacciosa ci avevano pensato però le Instant Apps: lanciate con il Google I/O del 2016, le Instant Apps erano state inizialmente intese come un formato “light” delle normali applicazioni, da utilizzare sia su Google Play (come versioni gratuite “di prova” di app a pagamento), sia su siti e portali web come versioni leggere (anche se molto meno accessoriate in termini di feature) delle proprie app ufficiali.
La caratteristica principale delle Instant Apps consiste nel loro impatto quasi nullo sullo spazio di archiviazione del dispositivo: per utilizzarle è necessario scaricare solo pochi Kb di file. Tuttavia, questo non ha impedito loro di diventare una seria minaccia per i loro utenti.
Come la vulnerabilità attacca gli smartphone degli utenti
Secondo i ricercatori di Positive Technologies, la vulnerabilità agiva sul componente WebView di Chromium su Android. WebView, nonostante i continui aggiornamenti da parte di Google volti a migliorarne la sicurezza, è da sempre una vera e propria gatta da pelare, rivelando negli anni numerose vulnerabilità (come il bug “Magellan“, o l’esposizione ad attacchi Man-in-the-Middle scoperta nel 2017) che hanno sicuramente contribuito a rafforzare la negativa impressione di Android sul piano della sicurezza nell’opinione pubblica internazionale.
Quella che vi esponiamo non sarebbe dunque che l’ultima di una lunga serie: perché un hacker potesse servirsene, si potevano implementare due differenti strategie. La prima consisteva nell’utilizzo di un’applicazione modificata che contenesse l’accesso a WebView; una volta incautamente installata da parte dello sviluppatore, il programmatore armato di cattive intenzioni avrebbe potuto guadagnarsi l’accesso al dispositivo dell’utente senza restrizioni o vincoli di sorta, catturando ogni informazione trasmessa sul web. Token di autenticazione, password, cronologia e credenziali per l’accesso a siti web, carte di credito e social network sarebbero potuti così finire nelle mani hacker disposti a venderli sul dark web o in altre piattaforme criminali di compravendita di dati sensibili.
Tuttavia, l’installazione di un’app malevola è una prospettiva remota, per quanto minacciosa; a rendere più credibile la pericolosità della vulnerabilità c’era il suo collegamento con le Instant Apps. Dato che queste ultime si servono di WebView per visualizzare collegamenti e pagine web, un hacker avrebbe potuto convincere un utente al download di una di queste applicazioni e poi approfittarne, nel tempo in cui queste sono connesse al suo dispositivo, per prelevare quanti più dati possibile. Le Instant Apps, propagandate come app prive-di-file-da-scaricare, richiedono invece il download di un piccolo file di minuscole dimensioni, che viene cancellato al momento della chiusura dell’app. Questo particolare è essenziale, poiché spiega il funzionamento della vulnerabilità: il file, reso malevolo dall’hacker, rendeva possibile la penetrazione delle difese del dispositivo, ma solo fino al momento in cui l’utente non chiudeva l’applicazione.
Come difendersi dalla vulnerabilità
Fortunatamente, la vulnerabilità delle Instant Apps non costituiva una minaccia eccessivamente grande, per tanti motivi. Il primo consiste nello stesso grado di diffusione delle Instant Apps: nonostante gli iniziali successi, sono cadute lentamente nel dimenticatoio e da anni Google non le aggiorna con nuove feature o margini di sviluppo. La loro limitata adozione come formato di applicazione da parte degli sviluppatori ha consentito così di ridurre la portata della vulnerabilità stessa.
Secondariamente, il bug è già stato corretto attraverso un aggiornamento di Chrome, rilasciato alla fine di gennaio nella versione 72 del browser; se non aggiornate da tempo il browser di Google, vi suggeriamo caldamente di farlo. Tuttavia, ci sono alcune persone che questo aggiornamento non possono riceverlo: i dispositivi che non dispongono del supporto del Play Store (come, per esempio, i Kindle di Amazon) e tutti gli smartphone ancora fermi ad Android 4.4. Nel primo caso, sarà necessario che attendano l’invio di una patch di correzione di sicurezza da parte del proprio produttore, o che lo sollecitino a produrne una; nel secondo caso… l’unica soluzione consiste nell’acquisto di un device più recente, poiché Google ha abbandonato da tempo il supporto ad Android KitKat e ha già anticipato che non intende produrre una patch per questi telefoni, quale forma di incentivo a limitare la frammentazione di Android aggiornando il proprio smartphone.
Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!
Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!
Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).
Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!
