Alfonso Maruccia

Vulnerabilità Android capace di bypassare i controlli

Scovata una falla potenzialmente sfruttabile per infettare i dispositivi Android con app malevole "invisibili" ai controlli. Google ha già rilasciato un aggiornamento correttivo. Almeno sui dispositivi che commercializza direttamente

Roma - La nuova minaccia per i gadget mobile basati sul sistema operativo Android si chiama Janus, nome che evoca la mitologia romana (Giano bifronte) ma che ha conseguenze che più moderne non potrebbero: sfruttata a dovere, la falla garantisce un vettore di attacco estremamente capace e mette potenzialmente a rischio la sicurezza e i dati degli utenti.

Alla base di Janus c'è lo schema v1 adoperato da Google per la firma digitale dei pacchetti di app (.apk), un controllo adoperato dall'OS mobile per verificare che una app sia esattamente quella che dice di essere e non sia stata contraffatta con l'introduzione di codice malevolo.

E invece i ricercatori hanno trovato il modo di iniettare componenti malevoli nei pacchetti APK sotto forma di file eseguibili.dex, impedendo per giunta ad Android di accorgersi della modifica: al controllo successivo, l'OS verifica la firma del pacchetto APK come legittima lasciando l'eseguibile malevolo al suo interno intatto.
I cyber-criminali potrebbero sfruttare Janus per compromettere app teoricamente legittime, dotandole di funzionalità pericolose per rubare dati, credenziali di accesso finanziarie e altro ancora, con un danno ancora maggiore derivante dal camuffamento perfetto del payload in formato DEX all'interno di un contenitore APK apparentemente normale.

Fortunatamente, per l'utenza Android, la falla di Janus non è sfruttabile con lo schema di firma digitale v2 ed è già stata corretta con l'aggiornamento di dicembre rilasciato da Google. Sfortunatamente però, per l'utenza Android, la patch è al momento disponibile solo per gli utenti di dispositivi marcati Google, mentre spetterà ai produttori di terze parti e ai carrier telefonici decidere quando distribuire l'update a tutti gli altri.

Alfonso Maruccia
Notizie collegate
33 Commenti alla Notizia Vulnerabilità Android capace di bypassare i controlli
Ordina
  • "The only downside of a Janus attack is that it cannot be performed by hosting malicious updates on the official Play Store, and attackers must lure users on third-party app stores and trick them into installing updates for legitimate apps."
    non+autenticato
  • Quindi se non si installa prima la app col malware da un altro store che non sia google play, e che sia truffaldino, non si può attivare il malware nello smartphone, cioè non funziona. Mi chiedo se kingroot sia sicura o no. Di solito non uso thirt part apps, forse solo kingroot su certi dispositivi.
    user_
    1140
  • Kingroot ha almeno 40 malware diversi al suo interno
    non+autenticato
  • Era meglio di quel bidone di Android.
    Punto.
    non+autenticato
  • Meglio windows di sta merda di android, almeno windows quando rilascia le patch lo fa per tutti, non dipende da chi hai comprato il ferro. Android necessita di questa differenziazione non per motivi di driver, ma perché chi vende il ferro ci mette il bloatware e il suoo spayware, da aggiungere a quello di google.
    Risultato: cesso garantito.
    non+autenticato
  • - Scritto da: Stefano
    > Meglio windows di sta merda di android, almeno
    > windows quando rilascia le patch lo fa per tutti,
    > non dipende da chi hai comprato il ferro. Android
    > necessita di questa differenziazione non per
    > motivi di driver, ma perché chi vende il ferro ci
    > mette il bloatware e il suoo spayware, da
    > aggiungere a quello di
    > google.
    > Risultato: cesso garantito.

    Chi vende ferro, sia esso un PC o un telefono, ci mette SEMPRE il bloatware.

    E il bloatware dura sul telefono giusto il tempo di rootarlo e installare un sistema pulito e aggiornato.

    Quindi non capisco proprio di che cosa parli.
  • - Scritto da: panda rossa
    > - Scritto da: Stefano
    > > Meglio windows di sta merda di android, almeno
    > > windows quando rilascia le patch lo fa per
    > tutti,
    > > non dipende da chi hai comprato il ferro.
    > Android
    > > necessita di questa differenziazione non per
    > > motivi di driver, ma perché chi vende il ferro
    > ci
    > > mette il bloatware e il suoo spayware, da
    > > aggiungere a quello di
    > > google.
    > > Risultato: cesso garantito.
    >
    > Chi vende ferro, sia esso un PC o un telefono, ci
    > mette SEMPRE il
    > bloatware.
    >
    > E il bloatware dura sul telefono giusto il tempo
    > di rootarlo e installare un sistema pulito e
    > aggiornato.
    >
    > Quindi non capisco proprio di che cosa parli.

    Forse del fatto che non tutti i telefoni android possono funzionare senza driver proprietari?
    Forse del fatto che non c'è sempre un sistema pulito da poterci mettere su?
    Forse del fatto che se anche ci fosse, sei costretto ad utilizzare kernel vecchissimi?

    Da utilizzatore GNU(più o meno)/Linux e Android, devo dire che il secondo è un colabrodo, non c'è molto da dire o fare.
    non+autenticato
  • Perché se scegli bene non hai nessuno dei problemi sopra?

    Esempio: OnePlus One.
    non+autenticato
  • - Scritto da: Chicken
    > Perché se scegli bene non hai nessuno dei
    > problemi
    > sopra?
    >
    > Esempio: OnePlus One.


    Stai dicendo che per avere un telefono con android bisogna spendere almeno 450 euro?
    Il progetto oneplus (ottimo prodotto sia chiaro) è l'ennesima dimostrazione che android fa schifo: il produttore del ferro riesce a gestire e mantenere su pochi modelli, il ferro stesso è meglio che sia di buona qualità altrimenti non ne vale la pena (penso perché altrimenti gli utenti abbandonano dopo pochi anni il modello precedente), infatti oneplus diventa sempre più caro.
    Non ho poi avuto tempo di vedere se oneplus ha aggiornato per il bug in oggetto, immagino di si se lo citi, mi fido.
    non+autenticato
  • - Scritto da: Chicken
    > Perché se scegli bene non hai nessuno dei
    > problemi
    > sopra?
    >
    > Esempio: OnePlus One.

    Se si è riusciti a liberarlo dai driver proprietari, è senz'altro una bella notizia.
    Ma siamo al livello dell'eccezione che conferma la regola.
    Se parliamo dell'ecosistema android, qual'è la percentuale dei dispositivi che non soffre dei problemi che ho enunciato su?
    Siamo al livello di qualche ago in un pagliaio, mi sa.
    non+autenticato
  • - Scritto da: Carlo
    > - Scritto da: Chicken
    > > Perché se scegli bene non hai nessuno dei
    > > problemi
    > > sopra?
    > >
    > > Esempio: OnePlus One.
    >
    > Se si è riusciti a liberarlo dai driver
    > proprietari, è senz'altro una bella
    > notizia.
    > Ma siamo al livello dell'eccezione che conferma
    > la
    > regola.
    > Se parliamo dell'ecosistema android, qual'è la
    > percentuale dei dispositivi che non soffre dei
    > problemi che ho enunciato
    > su?
    > Siamo al livello di qualche ago in un pagliaio,
    > mi
    > sa.

    La questione non e' l'ago nel pagliaio.
    La questione e': si puo' fare?

    Se anche fosse l'ago nel pagliaio, la risposta e' comunque SI.

    Chi non lo fa non lo fa per impossibilita' tecnica che e' propria del closed, chi non lo fa non lo fa per motivi suoi personali.
  • > La questione non e' l'ago nel pagliaio.
    > La questione e': si puo' fare?
    >

    La questione è: hai la patch? No

    > Se anche fosse l'ago nel pagliaio, la risposta e'
    > comunque
    > SI.
    >

    La risposta è NO, non hai la patch

    > Chi non lo fa non lo fa per impossibilita'
    > tecnica che e' propria del closed, chi non lo fa
    > non lo fa per motivi suoi
    > personali.

    Allora ti stai dando del pirla da solo.
    non+autenticato
  • - Scritto da: Stefano
    > > La questione non e' l'ago nel pagliaio.
    > > La questione e': si puo' fare?
    > >
    >
    > La questione è: hai la patch? No

    Non ho neanche il bug, a che mi serve la patch?

    >
    > > Se anche fosse l'ago nel pagliaio, la
    > risposta
    > e'
    > > comunque
    > > SI.
    > >
    >
    > La risposta è NO, non hai la patch

    Non ho neanche il bug, a che mi serve la patch.

    >
    > > Chi non lo fa non lo fa per impossibilita'
    > > tecnica che e' propria del closed, chi non
    > lo
    > fa
    > > non lo fa per motivi suoi
    > > personali.
    >
    > Allora ti stai dando del pirla da solo.

    Mi chiamo Stefano.
  • > Non ho neanche il bug, a che mi serve la patch?

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-...

    Ti vanti di avere una rom cucinata con una versione di android vecchia (e con altre vulnerabilità quindi)?

    Dimmi che rom e versione hai e ti dico a che problemi sei soggetto, altrimenti facciamo finta che sei l'agente segreto con il gadget ipersicuro che si è fatto da solo e finiamola qua.
    non+autenticato
  • >
    > Quindi non capisco proprio di che cosa parli.

    Parlo del fatto che tu la patch, nel tuo telefono che sei costretto a rootare e installare rom cucinate, non la hai ancora.
    lLe hai solo su prodotto marcato google. Come se Microsoft rilasciasse le patch solo per computer targati microsoft.
    Android (il primo esperimento di linux su mercato consumer) peggio di windows, è un dato di fatto ormai.
    non+autenticato