Ci risiamo, di nuovo l’ecosistema Android associato a una vulnerabilità, con tutto ciò che ne consegue in termini di potenziale pericolo per la sicurezza e i dati degli utenti. Questa volta a lanciare l’allarme sono i ricercatori di Nightwatch Cybersecurity, con un post pubblicato nei giorni scorsi che focalizza l’attenzione su un comportamento comune a tutte le versioni della piattaforma, ad esclusione della più recente 9.0 Pie.
La vulnerabilità CVE-2018-9489
Un problema identificato nel database Common Vulnerabilities and Exposures con l’etichetta CVE-2018-9489 e relativo alle modalità con le quali i dispositivi rendono alcune informazioni accessibili alle app in esecuzione. Nello specifico il nome delle reti WiFi, il BSSID degli access point, gli indirizzi IP e MAC (quest’ultimo mascherato dalla release 6.0 in poi) e il DNS del server. Un codice scritto appositamente per raccogliere tali dati potrebbe restituire un tracking dell’utente non autorizzato, esponendolo nella peggiore delle ipotesi a un attacco o all’azione di malware.
La vulnerabilità è stata immediatamente segnalata a Google, nel mese di marzo, così da concedere al gruppo di Mountain View il tempo necessario per farle fronte prima di una diffusione pubblica. Da Mountain View è giunto un fix tra la fine di luglio e l’inizio di agosto, ma che come sottolineato in apertura interessa solo la versione più recente del sistema operativo, lasciando di fatto scoperte tutte quelle passate: le motivazioni di tale decisione sono da ricercare nel fatto che la correzione comporterebbe un cambiamento troppo rilevante per le API relative a Oreo e alle iterazioni precedenti.
Sotto la lente d’ingrandimento finiscono gli intent “WifiManager.NETWORK STATE CHANGED ACTION” che descrive un cambiamento nello stato della connessione del device e “WifiP2pManager.WIFI P2P PEERS CHANGED ACTION” che invece restituisce informazioni sui peer. A una qualsiasi applicazione è dunque sufficiente ottenere l’autorizzazione a conoscere lo stato del network WiFi per entrare in possesso delle informazioni in questione. Di seguito le parole di Yakov Shafranovich, ricercatore Nightwatch Cybersecurity.
Poiché gli indirizzi MAC non cambiano e sono associati a un hardware specifico, possono essere utilizzati per identificare e tracciare qualsiasi dispositivo Android, anche quando vengono generati in modo casuale. Il nome del network o il BSSID possono invece essere sfruttati per effettuare la geolocalizzazione degli utenti, tramite un semplice lookup eseguito attraverso database come WiGLE o SkyHook.
Nessuno escluso (o quasi)
Non si salvano nemmeno i fork del sistema operativo, come il Fire OS installato da Amazon sui prodotti della linea Fire. La buona notizia è che tutti i device in arrivo sul mercato con preinstallato Android 9.0 Pie o che riceveranno un aggiornamento all’ultima evoluzione della piattaforma potranno considerarsi al sicuro. Quella meno buona è che tenendo conto di come la frammentazione rappresenti ancora oggi il principale tallone d’Achille dell’ecosistema mobile di bigG gran parte degli smartphone e dei tablet in circolazione rimarranno scoperti dal fix. Si parla dunque di centinaia di milioni di dispositivi distribuiti a livello globale. Va in ogni caso precisato che al momento non sono stati individuati exploit in grado di sfruttare in modo malevolo la vulnerabilità.
All’utente finale resta ben poco da fare, se non porre come sempre particolare attenzione nella scelta delle applicazioni da scaricare e alle autorizzazioni concesse, affidandosi per quanto possibile solo ed esclusivamente a Play Store per il download, evitando così di imbattersi in APK corrotti o contenente malware.