Alfonso Maruccia

Android e le nuove vulnerabilitÓ di Certifi-gate

Svelato l'ennesimo problema "sistemico" dell'OS mobile di Google, una serie di vulnerabilitÓ potenzialmente capaci di mettere completamente in ginocchio la sicurezza del terminale e dei dati dell'utente

Roma - A non molta distanza dalla pubblicazione dei dettagli su Stagefright e le relative contromosse da parte dell'industria, i ricercatori di Check Point Software approfittano del palco della conferenza Black Hat per presentare Certifi-gate. Come Stagefright, questo nuovo set di vulnerabilità di basso livello mette a rischio la sicurezza di milioni di dispositivi Android e i dati degli utenti.

Gli analisti di Check Point hanno identificato le vulnerabilità nel metodo di concessione delle autorizzazione a una classe di app mobile definita Remote Support Tool (mRST), strumenti generalmente integrati all'interno dei dispositivi Android e utili per fornire supporto remoto senza interazione diretta da parte dell'utente finale.

Sfruttando lo scarso livello di controllo di Android sulle autorizzazioni concesse alle app mRST, spiegano i ricercatori, è possibile trasformare le suddette app in vere e proprie "porte d'ingresso per guadagnare il controllo di centinaia di milioni di dispositivi Android"; le possibilità di azioni malevole sono innumerevoli, tra cattura dello schermo, keylogging, intercettazione delle informazioni private, installazione di app con funzionalità da backdoor e altro ancora.
A Los Angeles i ricercatori hanno dimostrato la capacità di far danni connesse ai bug Certifi-gate creando certificati crittografici fasulli, installando una app-torcia con cui hanno preso il controllo totale del dispositivo e persino inviando un singolo messaggio di testo capace di forzare il tool mRST integrato a compiere azioni potenzialmente malevole.

Sia Google che i principali produttori di gadget Android sono già stati informati del Certifi-gate, spiegano da Check Point, e molti hanno già provveduto a chiudere le vulnerabilità incriminate. Sia come sia, stando ai trend sulle vulnerabilità di Secunia il 2015 non sarà un anno particolarmente felice per la sicurezza informatica - e Android non farà eccezione: nella prima parte dell'anno le falle zero day scoperte sono già 15, e probabilmente alla fine del 2015 supereranno le 25 totali scoperte nel 2014.

Alfonso Maruccia
Notizie collegate
39 Commenti alla Notizia Android e le nuove vulnerabilitÓ di Certifi-gate
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)