android, google, news, privacy, sicurezza, smartphone

Masterkey hole su Android: Google rilascia patch di sicurezza

Grave falla di sicurezza scoperta da Bluebox su Android: Google rassicura e invia ai produttori la patch per la masterkey hole da distribuire agli utenti. CM10.1.1 integra già la patch. Un’app di Bluebox scansiona il dispositivo per scoprire se è vulnerabile.

Grave falla di sicurezza scoperta da Bluebox su Android: Google rassicura e invia ai produttori la patch per la masterkey hole da distribuire agli utenti. CM10.1.1 integra già la patch. Un'app di Bluebox scansiona il dispositivo per scoprire se è vulnerabile.
 

LA FALLA DI SICUREZZA “MASTERKEY HOLE”

Pochi giorni fa la società di sicurezza Bluebox (sito ufficiale), specializzata nel settore dei dispositivi mobili, ha pubblicato un report (qui l’originale in versione integrale) riguardante una grave falla di sicurezza (“masterkey hole”, falla della masterkey) che interesserebbe tutti i dispositivi Android a partire dalla versione 1.6 Donut, quindi la quasi totalità degli smartphone e dei tablet su cui è installato il sistema operativo mobile di Google.

Il problema di sicurezza riscontrato da Bluebox è relativo alla masterkey (da cui il nome di “masterkey hole”), la chiave di crittografia inserita in qualsiasi file di archivio con estensione apk (Android package) che costituisce il pacchetto di installazione delle applicazioni Android: a causa dell’ordine con cui Android esegue il controllo di sicurezza e integrità dell’applicazione, il contenuto dell’archivio apk di un’app legittima e sicura può essere modificato dai malintenzionati lasciando intatta e valida la firma digitale originale. Ciò è possibile semplicemente inserendo nell’archivio apk un file della chiave modificato prima di quello originale, cosicché Android veda il file modificato come valido (in quanto dotato dell’originale firma digitale) e consenta l’installazione dell’applicazione infetta.

COME PUO’ ESSERE SFRUTTATA LA “MASTERKEY HOLE”

L’applicazione modificata, ma vista come legittima e sicura da Android, si trasforma così in un eccezionale trojan horse (cavallo di Troia), che assume tutte le autorizzazioni necessariamente concesse all’applicazione originale al momento dell’installazione. In base alle autorizzazioni, il trojan può arrivare a gestire a proprio piacimento l’intero dispositivo: modificando un’applicazione di Google o del produttore dello smartphone/tablet in questione (per es. Samsung, Sony, HTC, LG, ecc.), poiché si tratta generalmente di sistema con autorizzazioni su tutto il S.O. e spesso anche sul firmware del dispositivo, il trojan ne assumerebbe il controllo completo (l’immagine all’inizio dell’articolo mostra proprio come gli addetti di Bluebox abbiano usato la “masterkey hole” su un dispositivo di test per modificarne la stringa “Baseband Version”, il cui valore è controllato e configurato dal firmware).

A questo punto, il trojan avrebbe infinite possibilità: rubare i dati del proprietario (messaggi, password, dati di accesso ai Social Network, ecc.) e inviarli a server esterni per un’uso fraudolento o per venderli, installare altre applicazioni nel dispositivo a insaputa dell’utente, sfruttare il dispositivo come un nodo di una rete di  macchine (botnet) per scopi illegali, effettuare chiamate o inviare messaggi a numeri a pagamento, ecc.

I RISCHI E COME LIMITARLI

I responsabili di Google fanno sapere che il rischio di finire vittima di qualche malintenzionato che sfrutti questa falla non dovrebbe essere elevato come sembra, almeno per l’utente medio, in quanto, sostengono, le applicazioni sono verificate attentamente prima di essere scaricabili dal Google Play Store. Discorso diverso per chi scarica applicazioni da market alternativi, da siti esterni o da link mirror di applicazioni ufficiali, tramite email, ecc.

Per esporsi alla “masterkey hole”, quindi, dovrebbe essere stata selezionata nelle impostazioni di Android l’opzione “Origini sconosciute”, così da permettere l’installazione di applicazioni non scaricate dal market ufficiale di Google.

Gina Scigliano, Communications Manager per il settore Android di Google, comunque rassicura anche gli utenti che scaricano applicazioni da altre fonti, ricordando la funzionalità di Android chiamata “Verifica applicazione” (proposta al momento dell’installazione di un pacchetto apk non tramite Play Store), che quindi è fortemente raccomandata soprattutto dopo la scoperta di questa falla, sebbene non sia certo che questa verifica ponga un rimedio al problema.

A detta di Google, comunque, al momento non risultano applicazioni che sfruttino la “masterkey hole” tra quelle analizzate dai loro strumenti di controllo.

LA PATCH DI GOOGLE

La “masterkey hole”, secondo alcune voci, sarebbe nota a Google da febbraio dello scorso anno e la risoluzione del problema era stata delegata ai produttori dei dispositivi tramite rilascio di patch e firmware aggiornati. Poiché, evidentemente, questo non è accaduto, Google è scesa ora in campo per risolvere in prima persona la questione, inviando agli OEM una patch che chiuda la falla e, fa sapere sempre Gina Scigliano per conto di Google, alcuni produttori e rivenditori come Samsung la stanno già mettendo a disposizione ai propri utenti.

Poiché la distribuzione della patch per la “masterkey hole” sarà a carico dei produttori dei dispositivi e gli utenti Android conoscono bene la lentezza (e in alcuni casi mancanza totale) degli aggiornamenti da parte dei produttori, è possibile che alcuni di questi forniscano la patch con tempi abbastanza lunghi e diversi in base al modello del dispositivo (probabilmente con priorità per i modelli di punta o più recenti); inoltre, c’è anche la possibilità che alcuni produttori non forniscano affatto la patch per i propri dispositivi o che trascurino i modelli usciti da più di 2-3 anni.

LE ALTERNATIVE ALLA PATCH DI GOOGLE

Per gli utenti più sfortunati da questo punto di vista, non resta che affidarsi a patch alternative che potrebbero essere rilasciate da programmatori esperti oppure sostituire il sistema operativo stock del produttore con una ROM alternativa sviluppata per il proprio dispositivo. In entrambi i casi, i forum dedicati di Xda-developers (sito ufficiale) sono un buon punto di partenza per cercare supporto, guide e software in questo ambito.

Per gli utenti della famosissima ROM CyanogenMod, c’è da segnalare il veloce rilascio della  versione stabile CyanogenMod 10.1.1, che integra la patch per la “masterkey hole” a livello di sistema operativo. La versione 10.1.1 è già stata rilasciata e sarà presto disponibile per gli utenti; al momento la compatibilità è assicurata per Samsung Captivate, Acer Iconia Tab a700, Nexus S e Galaxy S III. Vista la criticità del problema, la vulnerabilità è stata risolta anche nei codici sorgenti delle precedenti CM7 e CM9.

masterkey-hole-cm10.1.1

L’APP DI BLUEBOX PER SCOPRIRE SE SI E’ VULNERABILI

Bluebox, responsabile della scoperta della falla ha rilasciato un’applicazione per scansionare il proprio dispositivo e capire se si è esposti alla “masterkey hole”. Nei risultati della scansione, evidenzia anche se si è attivata o meno l’opzione “Origini sconosciute” e se ci sono app installate che sfruttano la falla.
L’app “Bluebox Security Scanner” è scaricabile gratuitamente da Google Play Store a questo indirizzo.

master-key-bluebox-app

Una schermata di esempio con i risultati finali di “Bluebox Security Scanner”

POST CORRELATI

Comments Closed

I commenti sono chiusi. Non puoi commentare questo post.