Gli hacker possono attaccare gli smartphone con Android usando metodi che funzionano virtualmente su qualunque dispositivo, nonostante gli sforzi che la grande “G” ha profuso sul versante della protezione. È quanto hanno mostrato alcuni esperti nel corso della Black Hat hacking conference di Las Vegas, dove 6500 funzionari di aziende e agenzie di sicurezza governativa si sono riuniti per conoscere nuove minacce e rischi in questo settore.
“Google sta facendo progressi, ma gli autori di software malevolo stanno altresì rapidamente portandosi avanti” ha detto Sean Schulte degli SpiderLabs di Trustwave, società specializzata in soluzioni per la sicurezza informatica. La portavoce di Google, Gina Scigliano, non ha rilasciato dichiarazioni e commenti sulle preoccupazioni dei ricercatori.
Il “solito” Charlie Miller ha dimostrato un metodo per distribuire codice malevolo a telefoni Android sfruttando la tecnologia di connettività wireless NFC (Near Field Communications) e come prendere possesso di un dispositivo. L’NFC è utilizzato per condividere foto con amici, portare a termine pagamenti e scambiare dati avvicinando i telefoni (o un terminale di pagamento) a pochi centimetri l’uno dall’altro. Miller afferma di aver individuato il modo di creare un dispositivo di minuscole dimensioni (grande quanto un francobollo) da lasciare in modo discreto nei pressi di un registratore di cassa di un ristorante, sfruttabile come “cavallo di troia” per attaccare i dispositivi Android degli avventori.
Miller e Georg Wicherski (altro esperto hacker) di CrowdStrikeun hanno mostrato anche come infettare un telefono Android sfruttando codice creato da Wicherski a febbraio di quest’anno. Il software sfrutta una falla di sicurezza nel browser per Android resa pubblica dal team che sviluppa Chrome. La falla è stata recentemente chiusa ma secondo Wicherski molti utenti Android sono ancora vulnerabili poiché i carrier e i produttori dei dispositivi non hanno invitato gli utenti a eseguire gli aggiornamenti.
Secondo Marc Maiffret, chief technology officer della società specializzata in sicurezza BeyondTrust con gli ultimi update “Google ha aggiunto ottime funzionalità di sicurezza, ma nessuno le sfrutta”. A detta degli esperti, gli iPhone e gli iPad non hanno gli stessi problemi di sicurezza dei dispositivi Android poiché Apple spinge carrier e utenti ad aggiornare il sistema operativo velocemente quando una nuova versione di quest’ultimo è rilasciata.
Due ricercatori esperti nel campo della sicurezza hanno comunicato ai partecipanti di aver individuato una tecnica per eludere la tecnologia “Bouncer” per l’identificazione di codice malevolo nel Play Store di Google. Il sistema sfrutta un tool di programmazione regolarmente conosciuto come java script bridge per consentire agli sviluppatori di aggiungere in remoto nuove caratteristiche a un programma senza passare dal sistema di aggiornamento standard di Android. Società quali Facebook e LinkedIn usano la tecnica dello java script bridge per scopi legittimi, afferma Trustwave, ma la stessa tecnica può essere sfruttata anche per scopi illeciti. Come dimostrazione hanno caricato il codice malevolo su uno dei telefoni usati per le prove mostrando la possibilità di controllare in remoto il browser del dispositivo: da qui il passo verso il controllo completo (sfruttando codice scritto ad hoc) non è impossibile. “Speriamo che Google risolva rapidamente il problema” ha detto Nicholas Percoco, vice presidente senior degli SpiderLabs di Trustwave. “Per il momento, Android è come il selvaggio west”.
[A cura di Mauro Notarianni]
