Claudio Tamburrino

Datagate, spionaggio a mezzo app Android

L'intelligence dei Five Eyes meditava di agire sugli store di applicazioni per Android per insinuarsi negli smartphone degli utenti da monitorare sfruttando vulnerabilitÓ e disseminando spyware

Roma - La National Security Agency avrebbe cercato di attaccare gli store digitali di app di Google e Samsung per infettare i terminali degli utenti con spyware.

A rivelarlo è la nuova pubblicazione da parte della CBC di un documento divulgato dall'ex contractor dell'NSA Edward Snowden: in esso si legge che un'unità spionistica speciale, chiamata Network Tradecraft Advancement Team (NTAT) che raccoglieva agenti dei five eyes, l'alleanza tra Stati Uniti, Canada, Regno Unito, Nuova Zelanza ed Australia, avrebbe discusso dei possibili attacchi da condurre nei confronti degli app store dedicati ad Android in una serie di workshop tenuti in Australia ed in Canada. Un'operazione dal nome curioso e inquietante: Irritant Horn.

In pratica, durante questi incontri segreti le spie si scambiavano informazioni circa i metodi per superare i sistemi di sicurezza degli app store per impiegare il sistema XKEYSCORE, in grado di analizzare il traffico generato dagli smartphone per tracciarli fino agli snodi attraverso cui si connettono ai markeplace per scaricare applicazioni.
L'idea - una volta individuati e superati i sistemi di sicurezza degli store digitali - era principalmente quella di infettare i dispositivi mobile degli utenti con malware attravrerso cui raccogliere dati.
Tuttavia i progetti non si limitavano a ciò: tra gli obiettivi vi era anche quello di sfruttare gli store di applicazioni per veicolare informazioni forvianti ai dispositivi dei soggetti da colpire, nell'ambito di operazioni di più ampia portata condotte a fini di propaganda o per confondere gli avversari (in particolare in situazioni di crisi e di rivolta, come ad esempio la cosiddetta Primavera Araba).

Nel documento si individuano per esempio le vulnerabilità di un'app per la navigazione mobile molto utilizzata in Asia, UC Browser, utilizzato da circa mezzo miliardo di persone e a quanto pare individato come una vera e propria miniera di dati da parte degli agenti: già a metà aprile i ricercatori del Citizen Lab dell'Università di Toronto avevano avvertito i gestori del browser dei problemi di sicurezza che dovrebbero nel frattempo essere stati risolti.

Claudio Tamburrino
Notizie collegate
  • SicurezzaAndroid, il malware è marginaleNel suo nuovo rapporto sullo stato della sicurezza mobile, Google descrive una situazione pi¨ rosea di quella che sembra trasparire dalle cronache. L'OS sarÓ ancora pi¨ sicuro, promette Mountain View
  • AttualitàUSA, non aprite quella backdoorEsperti e colossi della tecnologia scrivono a Barack Obama: raccomandano di non imporre l'installazione di porte di accesso privilegiate nei sistemi crittografici a uso e consumo delle autoritÓ di polizia
37 Commenti alla Notizia Datagate, spionaggio a mezzo app Android
Ordina
  • Leggo un flame fra i soliti sulle possibilità di danni o meno o ecc ecc quando si hanno le credenziali Gmail di qualcuno.
    Ma nessuno cita dashboard?
    Io periodicamente pulisco il pulibile dentro ma lo stesso se qualcuno mi fregasse le credenziali avrebbe solo di rubrica un parco dati ben corposo..
    non+autenticato
  • Questi volevano quindi tentare di violare gli store per inserire app infette che avrebbero consentito di intercettare traffico telefonico o peggio.

    Ma pare che alla fine non sia stato fatto nulla, se ho bene interpretato.

    Manca la conclusione.

    Hanno violato?
    E se non hanno violato, perche'?
  • - Scritto da: panda rossa

    > Hanno violato?
    > E se non hanno violato, perche'?

    Non si sa nulla.
    Ma se l'hanno fatto davvero, allora hanno violato il meccanismo di firma delle app ed agito da MITM in una conversazione HTTPS.

    la seconda parte in certi casi fattibile viste le mille debolezze che hanno infilato ovunque.
    La prima? boh... non so che tipo di sicurezza usi google per far firmare le app agli sviluppatori.

    Come dicevo ieri però, tenendo conto che android è un colabrodo di suo (basta avere le credenziali di gmail di un utente e da remoto gli installi tutte le app che vuoi), tutto questo casino non mi pare così motivato.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: panda rossa
    >
    > > Hanno violato?
    > > E se non hanno violato, perche'?
    >
    > Non si sa nulla.

    Pero' si sa che ci hanno provato e si sa anche in che modo ci hanno provato.

    > Ma se l'hanno fatto davvero, allora hanno violato
    > il meccanismo di firma delle app ed agito da MITM
    > in una conversazione
    > HTTPS.

    E si saprebbe?

    > la seconda parte in certi casi fattibile viste le
    > mille debolezze che hanno infilato
    > ovunque.
    > La prima? boh... non so che tipo di sicurezza usi
    > google per far firmare le app agli
    > sviluppatori.
    >
    > Come dicevo ieri però, tenendo conto che android
    > è un colabrodo di suo (basta avere le credenziali
    > di gmail di un utente e da remoto gli installi
    > tutte le app che vuoi),

    Hai detto niente.
    Se hai le credenziali di gmail di quell'utente hai la sua vita in pugno.
    Lo smartphone e' l'ultimo dei suoi problemi.

    > tutto questo casino non
    > mi pare così
    > motivato.

    Si, ma a me piacerebbe sapere come mai:
    1) la notizia e' in giro
    2) come e' finita, e se e' finita male, perche'.
  • - Scritto da: panda rossa

    > Hai detto niente.
    > Se hai le credenziali di gmail di quell'utente
    > hai la sua vita in
    > pugno.
    > Lo smartphone e' l'ultimo dei suoi problemi.
    >

    assolutamente no.
    1) L'utente medio di android non usava nemmeno gmail e fa l'account solo perché nel setup sei 'invitato' a farlo (poi per comunicare usa whatsapp...).
    2) c'è una bella differenza tra leggere la posta di gmail e prendere possesso dello smartphone. Lo smartphone, soprattutto per i giovani, è come il PC: per te dare le credenziali dei posta o accesso illimitato al tuo PC è la stessa cosa?
    In quest'ultimo c'è tutto quanto, nel primo c'è solo la corrispondenza.


    > Si, ma a me piacerebbe sapere come mai:
    > 1) la notizia e' in giro
    > 2) come e' finita, e se e' finita male, perche'.

    documenti Snowden che vengono rilasciati col contagocce?
    non+autenticato
  • Pardon, dimentica Google dashboard.
    Solo quello è una miniera.
    E basta solamente user e pass di Gmail.
    E concordo sulle app da remoto via play store da web.
    non+autenticato
  • E lo chiedi a "5 occhi"?
    Bene che vada almeno uno è matematicamente "guercio"...
    Se "ci vede bene" è per puro caso...
    A bocca aperta
    non+autenticato
  • - Scritto da: ...
    > Come dicevo ieri però, tenendo conto che android
    > è un colabrodo di suo (basta avere le credenziali
    > di gmail di un utente e da remoto gli installi
    > tutte le app che vuoi)

    E tu reputi questa cosa negativa ? io la trovo comoda...
    Che poi devi sapere nome utente e password,una volta che sai entrambe puoi fare di tutto in qualsiasi sistema,non è solo uan prerogativa Android.
    non+autenticato
  • - Scritto da: Etype
    > (basta avere le
    > credenziali
    > > di gmail di un utente e da remoto gli installi
    > > tutte le app che vuoi)
    >
    > E tu reputi questa cosa negativa ? io la trovo
    > comoda...

    ah certo, sarebbe comoda se ti aprisse anche la casa, la macchina e il conto in banca.
    Ma 'comodo', anche se non letteralmente fa rima con 'colabrodo'


    > Che poi devi sapere nome utente e password,una
    > volta che sai entrambe puoi fare di tutto in
    > qualsiasi sistema

    come risposto a Panda, c'è una bella differenza tra conoscere le credenziali dell'email di qualcuno (di una delle email, peraltro) e fare il bello e il cattivo tempo sul device che usa 12 ore al giorno...

    E se non la cogliete, beh... francamente è un limite vostro.
    non+autenticato
  • - Scritto da: ...

    > Ma 'comodo', anche se non letteralmente fa rima
    > con
    > 'colabrodo'

    Non vedo dove sia il colabrodo con l'installazione di app remota sullo stesso account.
    E' come per la posta elettronica,ci puoi accedere sia tramite client sia
    tramite web.

    > come risposto a Panda, c'è una bella differenza
    > tra conoscere le credenziali dell'email di
    > qualcuno (di una delle email, peraltro)

    Perchè tu credi che la gente non invia mai nulla di privato per email ?

    > fare il bello e il cattivo tempo sul device che usa 12
    > ore al
    > giorno...

    E come fai a fare il bello e il cattivo tempo ?

    Ti si installa un programma dal nulla e tu non ti insospettisci ?

    Basterebbe solo questo per chiudere la connessione internet,cancellare l'account su smartphone e verificarlo via web se qualcosa è cambiato...

    Poi puoi installare solo app che sono su Play,quindi puoi fare ben poco.

    E comunque hai ancora l'autenticazione a 2 fattori,la cronologia delle ultime attività svolte dentro l'account,ecc

    > E se non la cogliete, beh... francamente è un
    > limite
    > vostro.

    Veramente stai spacciando una cosa improbabile e di difficile attuazione senza che l'utente non se ne accorga dopo 3 secondi,con relative contromisure,per qualcosa di reale dove puoi fare tutto.
    non+autenticato
  • - Scritto da: Etype

    > Non vedo dove sia il colabrodo con
    > l'installazione di app remota sullo stesso
    > account.

    Hai una visione ampiamente ristretta (so' poeta) la discussione potrebbe finire già qui.
    Ma ti do due aiutini.

    aiutino 1
    Caso particolare 1 (altrimenti detto arrampicata sugli specchi): tizio metto tutto nell'email perfino la chiave privata di PGP!!1 --> l'email è importante quanto il device.

    Caso particolare 2 (altrimenti detto arrampicata sugli specchi dall'altro lato ): l'email è stata inserita solo perché era chiesto nel setup ma non è mai stata utilizzata, ergo non contiene nulla --> l'email non è assolutamente importante quanto il device.

    Anche senza stare ad elaborare le mille sfumature di grigio si deduce che:
    Caso generale : l'email non è importante quanto il device, visto che ci sono casi in cui è addirittura irrilevante

    aiutino due:
    Ti andrebbe bene se chi conosce le tue credenziali di email potesse accedere al tuo PC di casa, installarvi trojan e sniffer e quindi avere la tua chiave truecrypt (o equivalente) le tue chiavi PGP (o equivalenti) e così via?

    Se rispondi di sì, allora ti meriti le falle by design come quella di Android...
    non+autenticato
  • - Scritto da: ...
    > Hai una visione ampiamente ristretta
    >
    (so' poeta) la discussione potrebbe
    > finire già
    > qui.
    > Ma ti do due aiutini.

    Ho una visione reale e non puoi fare nulla senza mettere il allarme l'utente che è bersagliato dalla procedura.

    > aiutino 1
    > Caso particolare 1
    > (altrimenti detto arrampicata sugli specchi):
    > tizio metto tutto nell'email perfino la chiave
    > privata di PGP!!1 --> l'email è importante
    > quanto il
    > device.

    certoA bocca aperta

    > Caso particolare 2
    > (altrimenti detto arrampicata sugli specchi
    > dall'altro lato ): l'email è
    > stata inserita solo perché era chiesto nel setup
    > ma non è mai stata utilizzata, ergo non contiene
    > nulla --> l'email non è assolutamente
    > importante quanto il
    > device.

    Infatti con Android,sebbene è sia procedura per default,puoi anche non installare Play e fare tutto manualmente.

    > Anche senza stare ad elaborare le mille sfumature
    > di grigio si deduce
    > che:
    > Caso generale : l'email non
    > è importante quanto il device, visto che ci sono
    > casi in cui è addirittura
    > irrilevante

    Come lo è se non usi Play...

    > aiutino due:
    > Ti andrebbe bene se chi conosce le tue
    > credenziali di email potesse accedere al tuo PC
    > di casa

    spiegami come....
    Se io ti invio un messaggio di posta tu sai il mio indirizzo ma non la password e quindi non puoi fare nulla,nel caso di Play non sai neanche l'indirizzo.

    > installarvi trojan e sniffer e quindi
    > avere la tua chiave truecrypt (o equivalente) le
    > tue chiavi PGP (o equivalenti) e così
    > via?

    Ma che ti stai inventando ?

    > Se rispondi di sì, allora ti meriti le falle by
    > design come quella di
    > Android...

    Non c'è alcuna falla altrimenti milioni di utenti sarebbero già stati colpiti da un'operazione del genere e Google avrebbe già provveduto..

    Libero di postare qualcosa che confuti la tua teoriaA bocca aperta
    non+autenticato