Alfonso Maruccia

Android, crittografia a rischio

Individuato un nuovo meccanismo capace di insidiare la sicurezza delle unitÓ di storage cifrate su dispositivi Android, un problema che riguarda un terzo dei terminali in circolazione nonostante la disponibilitÓ delle patch

Android, crittografia a rischioRoma - La sicurezza dei terminali Android che fanno uso di chip ARM prodotti da Qualcomm è potenzialmente a rischio, con la crittografia full-disk (FDE) che presta il fianco a potenziali attacchi grazie a due vulnerabilità intrinseche nel design del sistema. Vulnerabilità per cui è già stata rilasciata una patch, ma ancora pericolose per un numero significativo di gadget basati sull'OS mobile di Google.

Il problema principale delle misure FDE di Android consiste nel modo in cui vengono gestite le funzionalità del kernel TrustZone, spiegano i ricercatori, e in particolare nel fatto che le chiavi crittografiche necessarie al corretto funzionamento della crittografia vengono generate dal software e salvate sotto forma di dati.
Si tratta di un approccio molto diverso rispetto al design implementato da Apple nelle versioni recenti di iOS, dicono ancora gli esperti, dove la chiave "UID" necessaria a criptare lo spazio di storage interno viene salvata direttamente su chip (tramite la funzionalità Secure Enclave) e non è praticamente attaccabile.

Su Android, invece, è possibile sfruttare le vulnerabilità studiate dai ricercatori (CVE-2015-6639 e CVE-2016-2431) per eseguire il codice malevolo all'interno del kernel TrustZone, estrarre le chiavi crittografiche e infine darle in pasto a un array di computer sufficientemente potente da permettere la loro compromissione in tempi umani.
Entrambe le vulnerabilità alla base del nuovo attacco - per cui è già stato distribuito il relativo codice di exploit - sono già state chiuse da Google e Qualcomm, con due patch distribuite rispettivamente a gennaio e maggio. Il ritardo nella distribuzione degli aggiornamenti da parte degli OEM, vera spina nel fianco per la sicurezza nel mercato Android, fa sì che il numero di dispositivi mobile potenzialmente vulnerabili alla nuova minaccia si assesti su un terzo di quelli in circolazione.

Alfonso Maruccia
Notizie collegate
  • BusinessAndroid e iOS, tra crittografia e mercatoMentre Apple si scontra con le richieste dell'FBI, Google deve fare i conti con i produttori di dispositivi Android, per cui la crittografia non Ŕ uno standard condiviso
  • SicurezzaBucate le protezioni DRM standard di ChromeScovata una vulnerabilitÓ nel sistema pensato per blindare lo streaming di contenuti protetti dal copyright, un problema che Google non ha ancora risolto e che potrebbe avere effetti ben oltre il codice del browser
  • BusinessGoogle e la lista nera dei produttori AndroidMountain View starebbe pensando di rendere pubblica la lista dei partner OEM che si impegnano meno a supportare i terminali messi in commercio. Una "colonna infame" che non sembra per˛ rappresentare una soluzione definitiva alla frammentazione
4 Commenti alla Notizia Android, crittografia a rischio
Ordina