Luca Annunziata

Android, il baco italiano

Quattro tecnici nostrani scavano nell'OS mobile di Google e scoprono un bug. Sfruttabile per ridurre al silenzio i telefoni. Da Mountain View confermano e lavorano alla patch

Roma - Giù nelle profondità di Android, quasi a livello Linux, si annida un bug: è una faccenda apparentemente di poco conto, solo una "leggerezza" di chi ha impostato la struttura e i meccanismi di auto-protezione del sistema operativo, ma che sfruttata nel modo giusto potrebbe costringere lo sfortunato malcapitato a ricorrere alle cure della garanzia per il proprio smartphone. L'hanno scovato quattro ricercatori italiani, che hanno pubblicato al riguardo un paper tecnico che illustra il problema.

I quattro (Alessandro Armando della Fondazione Bruno Kessler di Trento; Alessio Merlo della Università Telematica E-Campus; Mauro Migliardi dell'Università di Padova; e Luca Verderame dell'Università di Genova) hanno individuato la vulnerabilità e proposto una soluzione al Security Team di Android: le verifiche fatte a Mountain View paiono aver dato esito positivo, e dunque alla prima occasione utile una patch sarà applicata alle prossime release dell'OS. La faccenda, per altro, riguarda in pratica ogni versione in circolazione: ivi compresa la più recente Ice Cream Sandwich.

Nel dettaglio, il meccanismo su cui si basa l'exploit scovato dai quattro italiani è relativo alla comunicazione tra il sistema operativo e le applicazioni: Android ovviamente provvede in automatico a evitare ad esempio che un'app possa generare processi-figli con poteri maggiori dei padri, o limita il moltiplicarsi incontrollato di processi per evitare l'esaurimento della memoria disponibile. Sfortunatamente, il framework non analizza completamente l'origine della richiesta: è dunque possibile avviare molteplici e potenzialmente infinite istanze dello stesso processo a livello Linux, dunque almeno due strati al di sotto dell'ambiente a cui operano le applicazioni che interagiscono con l'utente, causando un progressivo rallentamento del dispositivo.
In altre parole, il bug scovato è in grado di creare uno stuolo sconfinato di processi che si agitano ai livelli più bassi del sistema operativo, consumando memoria e cicli di processore. Poiché è possibile avviare un malware progettato per sfruttare la vulnerabilità direttamente in fase di accensione del device, o per attivarsi periodicamente, l'utente potrebbe ritrovarsi con un cellulare praticamente inutilizzabile: i processi-fantoccio consumerebbero tutte le risorse disponibili, rimuoverli è complicato (a meno di non passare per la shell dell'OS, scovando a mano il nome del processo cattivo), l'unica soluzione possibile per la stragrande maggioranza degli utenti (tranne quelli abituati a smanettare con ADB Shell e simili) sarebbe rivolgersi all'assistenza del produttore.

Il tutto, senza bisogno alcuno di chiedere permessi particolari in fase di installazione: visto il livello a cui si muoverebbe un malware di questo tipo, e vista la natura dei processi, il sistema non ravviserebbe comportamenti sospetti e non sarebbero necessari privilegi particolari per avviare l'attacco "fork bomb" (una specie di attacco DoS: in questo caso il moltiplicarsi di processi concorrenti che saturano le capacità del telefono). Si tratta, in un certo senso, di una insicurezza by design che necessita di essere sanata: lo stesso team che l'ha scovata ha anche elaborato un paio di contromisure efficaci (aumentando essenzialmente i controlli del sistema operativo sull'origine di certe richieste nel software e isolando il meccanismo che genera il moltiplicarsi dei processi), che sono state testate su dispositivi fisici o emulati e con diverse versioni di Android e che verranno incorporate nel codice dell'OS di BigG.

Non tutti i dettagli sulla vulnerabilità sono stati divulgati, in attesa che Open Handset Alliance stili un termine preciso per il rilascio delle patch. I quattro ricercatori italiani hanno comunque divulgato gli estremi di quanto scoperto, e il loro lavoro sarà allegato agli atti del 27simo IFIP SEC 2012 in programma il prossimo giugno a Creta. Parte del lavoro dei ricercatori è stato finanziato dal fondo SPACIOS dell'Unione Europea.

Luca Annunziata
Notizie collegate
  • TecnologiaAndroid è l'agente segretoNSA sviluppa uno smartphone tarato sulle sue specifiche esigenze. Sicurezza delle comunicazioni e niente fronzoli social. Per telefonare e chat lontano da orecchie e occhi indiscreti
  • SicurezzaAndroid, nuova frontiera del malware mobileTestimonianze sui forum Android evidenziano l'esistenza di una falla all'interno del marketplace dell'OS di Google: malware camuffati da app di sistema si fanno strada sui cellulari degli utenti. E magari polimorfizzano
  • SicurezzaAndroid, un buttafuori per le app infetteGoogle annuncia l'attivazione di una nuova funzionalità capace di aumentare il livello di sicurezza del marketplace di Android. Il servizio lavora in maniera trasparente rispetto a utenti e sviluppatori
  • SicurezzaAndroid, l'invasione delle app infetteMilioni di utenti avrebbero scaricato un nuovo trojan diffusosi attraverso un pacchetto di 13 applicazioni a sfondo ludico. Trafugati dati personali e numeri di telefono?
109 Commenti alla Notizia Android, il baco italiano
Ordina
  • praticamente le chance che Android sia utilizzato in ambiente business/enterprise sono prossime allo zero!
    MeX
    16897
  • - Scritto da: MeX
    > praticamente le chance che Android sia utilizzato
    > in ambiente business/enterprise sono prossime
    > allo zero!

    Per un baco ? Ma se si usa windows... maddaiiii...
    krane
    22544
  • no per il fatto che ci può girare qualsiasi porcata ed è molto più facile sfruttare falle di sicurezza
    MeX
    16897
  • Mamma mia, non avervi qui dal vivo per applaudire alle razzate che diteA bocca aperta
  • - Scritto da: HermanHesse Quello TOSTO!
    > Mamma mia, non avervi qui dal vivo per applaudire
    > alle razzate che dite
    >A bocca aperta

    Ma secondo te sta parlando di windwos ?
    :D
    krane
    22544
  • Ma tanto é open, dagli ancora 2 mesi e verranno scoperte tutte le falle.

    Ficoso
    non+autenticato
  • meglio scoprirle alla luce del sole e tapperle, che vederle girare solo sui forum di hacker russiA bocca aperta
    non+autenticato
  • Infatti lo usa "solo" (tra i tanti) il governo degli Stati Uniti, compresa la difesa.

    Fai un po' te, come sei messo...
  • si e immagino che l'hanno lasciato Open con l'accesso al google play vero?

    Bravo, Bravo...
    MeX
    16897
  • Cosa divaolo centra Google Play con questo baco Rotola dal ridere ???

    Tanto per cambiare diamo il via alle dita senza aver capito nulla. Beh, d'altronde cosa pretendo da uno prono ad Apple?
  • Sono parenti alessandro armando e howard wolowitz!!?? Rotola dal ridereRotola dal ridere
    non+autenticato
  • Azz ... sembrano fratelli!!!
    - Scritto da: Defix
    > Sono parenti alessandro armando e howard
    > wolowitz!!??
    > Rotola dal ridereRotola dal ridere
    non+autenticato
  • ehm ... su linux, e così in cascata anche su android, esiste ulimit ( /etc/security/limits.conf) che serve proprio a limitare le possibilità di azione degli utenti, compreso il numero massimo di processi avviabili (compresi i fork => ulimit -u XYZ)

    in pratica su una serie di rom ulimits è disattivato (sulla mia è presente) e quindi su quelle senza fondamentalmente gli utenti non hanno alcun tipo di limite

    l'aumento di sicurezza consiste nel configurare correttamente i limiti degli utenti :fagiano: ^ 3
    non+autenticato
  • Ciao daniele_ddl,

    grazie per l'osservazione però il fatto è che la richiesta di fork al kernel viene fatta dal processo zygote che è root.
    Ulimit non è efficace sul super utente ma solo sugli user classici.
    L'utente non invoca la system call (che altrimenti ulimit potrebbe disciplinare) ma effettua semplicemente la richiesta allo zygote sotto forma di stringa. Spero di avere chiarito.

    cordialmente
    Luca Verderame
    non+autenticato
  • vero, ulimit si applica solo ai processi che passano attraverso PAM

    come hanno intenzione di risolvere? è necessario che zygote giri come root?
    non+autenticato
  • Bella ricerca... complimenti!

    Mountain View sara' contenta.... e' chiaro che fare i bug fixer statali per Mountain View aumenta il prestigio della ricerca nel nostro paese e ci consente di fare nuove scoperte...

    ma magari sono io che sono ignorante e non capisco l'utilita' a lungo termine di una ricerca simile
    non+autenticato
  • Le università fanno schifo in Italia, inutile negarlo. Soprattutto Ing. Civili-ambientali, giurisprudenza, medicine varie..
    .Si salvano solo le Ing. informatiche che mediamente sono più alte della media ed il comparto di meccanica...
    Uno studente di ing.

    - Scritto da: bella ricerca
    > Bella ricerca... complimenti!
    >
    > Mountain View sara' contenta.... e' chiaro che
    > fare i bug fixer statali per Mountain View
    > aumenta il prestigio della ricerca nel nostro
    > paese e ci consente di fare nuove scoperte...
    >
    >
    > ma magari sono io che sono ignorante e non
    > capisco l'utilita' a lungo termine di una ricerca
    > simile
    non+autenticato
  • - Scritto da: kokoko
    > Le università fanno schifo in Italia, inutile
    > negarlo. Soprattutto Ing. Civili-ambientali,
    > giurisprudenza, medicine
    > varie..
    > .Si salvano solo le Ing. informatiche che
    > mediamente sono più alte della media ed il
    > comparto di
    > meccanica...
    > Uno studente di ing.

    ma mi faccia il piacere...
    non+autenticato
  • Posso sapere quanti anni ha e che esperienze ha in riguardo?

    - Scritto da: il signor rossi
    > - Scritto da: kokoko
    > > Le università fanno schifo in Italia, inutile
    > > negarlo. Soprattutto Ing. Civili-ambientali,
    > > giurisprudenza, medicine
    > > varie..
    > > .Si salvano solo le Ing. informatiche che
    > > mediamente sono più alte della media ed il
    > > comparto di
    > > meccanica...
    > > Uno studente di ing.
    >
    > ma mi faccia il piacere...
    non+autenticato
  • - Scritto da: kokoko
    > Posso sapere quanti anni ha e che esperienze ha
    > in
    > riguardo?

    40 anni, laureato (bene) in scienze dell'informazione e sviluppatore software di professione.
    Se vogliamo fare una discussione seria, diciamo che fino a qualche anno fa i laureati italiani erano richiestissimi in tutto il mondo, data l'alta qualità della loro preparazione. In parte questo è perché l'università italiana ti prepara(va) più al mondo della ricerca che a quello del lavoro, in parte per l'effettiva qualità degli insegnamenti.
    Personalmente, posso dire che nella mia università ho ricevuto una preparazione teorica di ottimo livello. Dire che solo ingegneria è una buona università è una colossale bufala. A parte che bisogna distinguere quali università, in Italia abbiamo ottime università in tante discipline, soprattutto scientifiche. Non mi si venga a dire che uno studente che esce dalla Normale di Pisa non è preparato.
    Con i nuovi ordinamenti purtroppo la formazione degli studenti è stata fatta a pezzetti, oggi mi sembra che si facciano diecimila esami piccoli che non forniscono la preparazione approfondita di quelli che erano gli esami del vecchio ordinamento, e la preparazione al mondo del lavoro significa che purtroppo si tende a dare agli studenti una preparazione di livello più "pratico" ma inferiore dal punto di vista teorico. Uno studente attuale, probabilmente, sarà più preparato per entrare subito nella ditta dove fanno software java e meno per sostenere un colloquio in un'azienda dove cercano conoscenze teoriche di informatica serie.
    Perciò bisognerà valutare, negli anni a venire, se questa superiorità dei laureati italiani verrà confermata. Purtroppo la laurea triennale è stata un grossissimo errore, in quanto si formano persone con una preparazione molto inferiore.
    Ma questo è ben diverso da liquidare l'università italiana con un "fa schifo" (ricordiamoci che negli stati uniti per ottenere un'istruzione di questo livello bisogna spendere decine di migliaia di dollari l'anno) o che ingegneria è l'unica università buona.
    non+autenticato
  • - Scritto da: il signor rossi
    >
    > Personalmente, posso dire che nella mia
    > università ho ricevuto una preparazione teorica
    > di ottimo livello.

    però non ti hanno preparato bene sui troll
  • - Scritto da: kokoko
    > Le università fanno schifo in Italia, inutile
    > negarlo.

    In parte dissento.

    >Soprattutto Ing. Civili-ambientali,
    > giurisprudenza, medicine
    > varie..
    > .Si salvano solo le Ing. informatiche che
    > mediamente sono più alte della media ed il
    > comparto di
    > meccanica...
    > Uno studente di ing.

    Anche qui..può essere vero per un ateneo, ma non per tutti gli atenei.
  • E' per questo che siamo gli ultimi, siamo indietro,non abbiamo pratica, quello che ci viene insegnato è in buona parte già superato.
    Abbiamo una buona base ? può essere, perchè ui professori non avendo contatti diretti con la realtà sono indietro ed insegano tecniche e metodi superati.

    - Scritto da: dont feed the troll/dovella
    > - Scritto da: kokoko
    > > Le università fanno schifo in Italia, inutile
    > > negarlo.
    >
    > In parte dissento.
    >
    > >Soprattutto Ing. Civili-ambientali,
    > > giurisprudenza, medicine
    > > varie..
    > > .Si salvano solo le Ing. informatiche che
    > > mediamente sono più alte della media ed il
    > > comparto di
    > > meccanica...
    > > Uno studente di ing.
    >
    > Anche qui..può essere vero per un ateneo, ma non
    > per tutti gli
    > atenei.
    non+autenticato
  • - Scritto da: kokoko
    > E' per questo che siamo gli ultimi, siamo
    > indietro,non abbiamo pratica, quello che ci viene
    > insegnato è in buona parte già
    > superato.
    > Abbiamo una buona base ? può essere, perchè ui
    > professori non avendo contatti diretti con la
    > realtà sono indietro ed insegano tecniche e
    > metodi
    > superati.


    Diciamoci la verità dall'introduzione del 3+2 in poi la qualità dell'insegnamento nelle università italiane è precipitato verso il basso.
    Ed è successso anche inseguendo il mito del "meno teoria + pratica", che si è tradotto in un "meno teoria e basta".
    Vorrei chiarire che l'università NON è una scuola professionale: non è detto che debba necessariamente fornire sturmenti pratici utili al mondo del lavoro, l'univeristà ci deve fornire gli strumenti culturali e fino a una decina di anni fa la tanto vituperata università italiana lo faceva. Certo non gratis, fornendo servizi pessimi, obbligando al fuori corso ed operando una selezione al limite della follia. Adesso diventa sempre + un parcheggio per diplomati per attardare di qualche anno la loro condizione di disoccupati. Così non serve a nulla. Che è meno di quello a cui serviva prima.
  • - Scritto da: dont feed the troll/dovella
    > - Scritto da: kokoko
    > > E' per questo che siamo gli ultimi, siamo
    > > indietro,non abbiamo pratica, quello che ci
    > viene
    > > insegnato è in buona parte già
    > > superato.
    > > Abbiamo una buona base ? può essere, perchè
    > ui
    > > professori non avendo contatti diretti con la
    > > realtà sono indietro ed insegano tecniche e
    > > metodi
    > > superati.
    >
    >
    > Diciamoci la verità dall'introduzione del 3+2 in
    > poi la qualità dell'insegnamento nelle università
    > italiane è precipitato verso il
    > basso.
    > Ed è successso anche inseguendo il mito del "meno
    > teoria + pratica", che si è tradotto in un "meno
    > teoria e
    > basta".
    > Vorrei chiarire che l'università NON è una scuola
    > professionale: non è detto che debba
    > necessariamente fornire sturmenti pratici utili
    > al mondo del lavoro, l'univeristà ci deve fornire

    Dissento.
    Devo uscire da Ingegneria,medicina,veterinaria,giurisprudenza sapendo anche pratica.
    Se ho un paziente devo saperlo curare,se ho un cane devo saperlo operare, se sono un ingegnere devo saper fare certe cose,se sono un avvocato devo aver visto una sentenza durante i corsi.

    Parlavo con un ragazzo di veterinaria di una facoltà seria, 110 e lode, che praticamente non aveva mai fatto una operazione nè vista fare.
    In ingegneria (ara civile) so messo molto molto male, ed anche io esco da una facoltà seria (Padova per la cronaca).
    E a giurisprudenza? dove si fa diritto romano e si esce senza aver mai visto una sentenza ti sembra normale? no.
    L'università deve sare una base teorica e pratica e fornire gli strumenti per lavorare.Se uno vuol fare teoria fa poi scuole di dottarato.
    Ma l'università dovrebbe formare in pratica, perchè il 99% delle persone che escono lavoreranno, non faranno ricerca.


    > gli strumenti culturali e fino a una decina di
    > anni fa la tanto vituperata università italiana
    > lo faceva. Certo non gratis, fornendo servizi
    > pessimi, obbligando al fuori corso ed operando
    > una selezione al limite della follia. Adesso
    > diventa sempre + un parcheggio per diplomati per
    > attardare di qualche anno la loro condizione di
    > disoccupati. Così non serve a nulla. Che è meno
    > di quello a cui serviva
    > prima.

    Non conosco come era prima del 3+2 quindi non posso parlare, visto però che i professori sono gli stessi (e visto che insegano teorie ormai superate a meno che non siano nozioni di base) non penso potesse essere così diverso.
    non+autenticato
  • while( true ) {
    printf ("Bug\n");
    }
    non+autenticato
  • - Scritto da: uTonto
    > while( true ) {
    > printf ("Bug\n");
    > }
    si ,esattoSorride certo non e' male, se l'OS si preoccupa di cacciarlo in sleep() dopo un po che rompe...
    non+autenticato
  • no: le app android sono scritte in java

    Sorride
  • cavoli uTonto mi inchino davanti alla tua illuminante spiegazione come mai non ho letto della tua scoperta?? Volevi tenerla tutta per te???
    Forse dovresti ringraziare gente come questa il cui unico scopo è quello di rendere più sicuro un sistema utilizzato da milioni di utente invece di sparare sentenze e scemenze.
    non+autenticato
  • @Ospite

    Tu che sei bravo mi spieghi in maniera semplice cosa hanno scoperto i nostri bugz hunterz, con i miei soldi ?
    non+autenticato
  • Per quel poco che ho capito con i tuoi soldi e i loro (perchè non crederti l'unico che paga le tasse) hanno fatto in modo che il tuo cellulare, stavolta pagato esclusivamente con i tuoi soldi, non diventasse un fermacarte di lusso, a meno di mandarlo in assistenza o perderci una giornata a formattare, riflashare e installare nuovamente il tutto - ammesso di esserne capaci.
    non+autenticato