Android, vulnerabilità di fine estate

Il mondo Android ripropone, in occasione del bollettino e aggiornamento di sicurezza mensile prodotto da Google, la stessa sceneggiatura già vista nel recente passato. Nuove vulnerabilità critiche, con patch pronte nel ramo AOSP e negli aggiornamenti over-the-air inviati ai Nexus, ma delle quali non gioveranno la quasi totalità dei dispositivi in circolazione. I due bug di sicurezza sono indicizzati come CVE 2016-3861 e 2016-3862.

La prima vulnerabilità è stata scoperta da Mark Brand del team di Google Project Zero, che ne ha esposto i dettagli sul blog ufficiale. La ragione per l’assegnazione del livello “critico” al problema è una combinazione tra la facilità con cui è possibile scovare la vulnerabilità (a posteriori ci si è accorti che la porzione di codice incriminato era stata individuata già da un anno) e il numero molto alto di possibili vettori (sottosistemi che vanno ad eseguire quella code path). Il bug consente l’esecuzione di codice da remoto e di assumere livelli di privilegio equivalenti a quelli di codice di sistema, potenzialmente anche privilegi di root. Google e i ricercatori hanno opinioni diverse su quanto sia concreta la possibilità che il bug venga sfruttato, ma tutti sono unanimi nel considerare “molto seria” la vulnerabilità.


Il secondo problema è stato invece scoperto e segnalato a Google da Tim Strazzere di SentinelOne e costituisce una nuova Stagefright, una delle prime vulnerabilità Android su vasta scala che sfruttava uno dei componenti più vulnerabili del sistema: il media server. CVE 2016-3862 consente l’esecuzione di code javascript embeddato all’interno di metadati EXIF associati a immagini JPEG appositamente prodotte dall’attaccante. Il livello critico assegnato è dovuto al fatto che non è necessario un click da parte dell’utente perché avvenga l’infezione, è sufficiente il download del file malevolo. A quel punto il codice ha gli stessi privilegi dell’applicazione che ha scaricato l’immagine ed eseguito la chiamata alla libreria stagefright. Secondo Strazzere, Google sta finalmente risolvendo il problema alla radice riscrivendo la libreria da C a Java e ritiene che pertanto “ci saranno sicuramente ancora bug in futuro, ma non più così critici”.

Appena un mese fa Google si è mostrata poco preoccupata di queste vulnerabilità critiche e fiduciosa di poter impedire, grazie alle scansioni di massa lato Play Store, che codice malevolo capace di sfruttarle possa mai ad essere eseguito anche su device vulnerabili. Gli scopritori di Quadrooter, l’azienda di sicurezza Checkpoint, ha però pubblicato nelle ultime due settimane due report relativi a due malware battezzati DressCode e Calljam che svelano come questo ultimo strato di difesa sia capace di fallire clamorosamente: ben 40 applicazioni, per un totale di 2,5 milioni di download da aprile a oggi, sono risultate infettate. Chi le ha installate è stato principalmente sfruttato per generare click fraudolenti a favore di annunci pubblicitari (DressCode), ma anche chiamate verso numerazioni a sovrapprezzo (Calljam). In quest’ultimo caso era però necessaria una conferma da parte dell’utente alla richiesta dei permessi necessari da parte dell’app. Tutte le applicazioni riportate da Checkpoint (l’elenco completo è disponibile nei report) risultano ad oggi rimosse dal Google Play Store.


Questo articolo è stato pubblicato in origine su Punto Informatico, sotto licenza Creative Commons BY-NC-SA 2.5.