L'ANALISI TECNICA

Famose applicazioni Android mettono a rischio milioni di utenti: che c’è da sapere

Numerose applicazioni Android, tra cui Moovit, Edge, XRecorder, Viber e Booking, nascondono una vecchia vulnerabilità nella libreria Play Core di Google e mettono a rischio centinaia di milioni di utenti Android: la patch esiste ma non è stata prontamente adottata dagli sviluppatori delle app. Ecco cosa fare per mitigare i rischi

07 Dic 2020
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

Sono numerose le applicazioni sul Google Play Store, alcune anche molto famose come Grindr, OKCupid, Bumble, Moovit, Edge, XRecorder, Viber e Booking, che risultano essere a rischio hacking a causa di una nota vulnerabilità, identificata come CVE-2020-8913, che consente agli attaccanti di ottenere l’accesso completo a tutte le risorse del dispositivo Android su cui sono installate.

In particolare, il vecchio bug è stato isolato nella libreria Play Core di Google e consente di sfruttare le app vulnerabili per sottrarre dati sensibili come credenziali, password e dati di pagamento da altre applicazioni sullo stesso dispositivo

La vulnerabilità era già nota ed è stata prontamente corretta da Google, per poi essere resa pubblica fin da agosto con uno specifico avviso di allerta del NIST, ma gli sviluppatori hanno tardato nell’inserire la patch nelle loro applicazioni, con il risultato di mantenerle vulnerabili e mettendo in pericolo centinaia di milioni di utenti Android.

Vulnerabilità nelle applicazioni Android: danni e rischi associati

In particolare, la vulnerabilità consente a un aggressore di inoculare malware all’interno del codice di applicazioni vulnerabili, garantendo l’accesso a tutte le risorse e tutti i dati dell’hosting, quindi del dispositivo che ospita queste app.

WHITEPAPER
Valorizza i dati del tuo cloud e scopri i benefici per la tua azienda!
Big Data
Cloud

Aviran Hazum, Manager of Mobile Research di Check Point, spiega che “se un’applicazione dannosa la sfrutta può ottenere l’esecuzione del codice all’interno delle app più diffuse, ottenendo lo stesso accesso di quella vulnerabile. Ad esempio, la vulnerabilità potrebbe consentire a un aggressore di inserire il codice nelle app dei social media per spiare le vittime, o diffondere il codice nelle app di messaggistica istantanea per recuperare i messaggi o anche rubare codici per l’autenticazione a due fattori o di diffondere codice nelle app bancarie per ottenere le credenziali. Le possibilità di attacco in questo caso sono infinite come l’immaginazione dell’hacker stesso”.

Il difetto, come dicevamo, riguarda la libreria Play Core di Google che permette agli sviluppatori di aggiungere aggiornamenti in-app e nuovi moduli di funzionalità nelle loro app Android.

La vulnerabilità rende possibile l’aggiunta di moduli eseguibili a qualsiasi app che utilizzi la libreria, il che significa che il codice arbitrario può essere eseguito al suo interno. Un aggressore, con una malware app installata sul dispositivo della vittima, potrebbe rubare tutte le sue informazioni private.

L’azienda Check Point ha diffuso un video che dimostra lo sfruttamento della vulnerabilità nel codice della libreria Play Core di Android per un attacco di Account Takeover. I ricercatori hanno preso una versione vulnerabile dell’app di Google Chrome e hanno creato un payload dedicato per accaparrarsi i suoi segnalibri.

Le dimostrazioni mostrano come qualcuno possa prendere possesso dei cookie per utilizzarli come mezzo per corrompere una sessione esistente con servizi di terze parti, come Dropbox.

Una volta che un payload viene “iniettato” in Google Chrome, avrà lo stesso accesso dell’app Google Chrome ai dati, come i cookie, la cronologia e i segnalibri per i dati, e il gestore di password come servizio.

La reazione a catena sfruttata dall’attacco può essere strutturata in quattro fasi distinte:

  1. Installazione dell’app vulnerabile e dannosa.
  2. Sfruttamento di un’applicazione con una versione vulnerabile di Google Play Core (GPC).
  3. Gestione da GPC del payload, per caricarlo ed eseguire l’attacco.
  4. Accesso del payload a tutte le risorse disponibili.

Vulnerabilità nelle applicazioni Android: cosa fare subito

Google ha fornito la patch a copertura del bug a partire dal 6 aprile 2020, con un rating di gravità pari a 8,8, su 10, ma affinché il problema venga definitivamente risolto è necessario che la patch sia inserita dagli sviluppatori stessi anche nelle rispettive applicazioni.

La vulnerabilità CVE-2020-8913 è veramente pericolosa, sostiene ancora Aviran Hazum, tanto che è stato deciso da Check Point di selezionare un numero random di app comuni per vedere quali sviluppatori abbiano effettivamente implementato la patch fornita da Google.

Il 13% delle app Google Play analizzate dai ricercatori ha utilizzato la libreria Google Play Core, di cui l’8% ha continuato ad avere una versione vulnerabile. Ad una prima analisi, le app ancora vulnerabili per le quali era necessario aggiornare la versione su Android erano:

  • Social – *Viber
  • Travel – *Booking
  • Business – Cisco Teams
  • Maps and Navigation – Yango Pro (Taximeter), Moovit
  • Dating – Grindr, OKCupid, Bumble
  • Browsers – Edge
  • Utilities – Xrecorder, PowerDirector

Ulteriori test hanno dimostrato che Viber e Booking hanno ricevuto la patch, per cui conviene installare subito l’aggiornamento delle app.

Google, contattata da Check Point in merito alla situazione, ha dichiarato che “la relativa vulnerabilità CVE-2020-8913 non esiste nelle versioni aggiornate di Play Core”.

Oltre all’aggiornamento mediante la patch, l’azienda israeliana suggerisce l’adozione di strumenti capaci di proteggere da vettori di attacchi, che sfruttano il download di applicazioni dannose e di applicazioni con malware incorporato.

Il commento di Aaron Visaggio, dell’ISWHAT LAB

Sebbene l’attacco abbia potenzialmente conseguenze molto gravi – spiega il Prof. Visaggio, professore associato del Dipartimento di Ingegneria dell’Università del Sannio e Direttore del ISWHAT LAB – come la possibilità di furto di credenziali (bancarie o di accesso a risorse aziendali), metterlo in pratica richiede che comunque la vittima scarichi un’applicazione malevola che possa iniettare il payload nell’app vittima.

È un’architettura di attacco non del tutto banale, ma non impossibile da realizzare. Questo meccanismo richiama ancora una volta l’urgente problema dell’attenzione del singolo utente, il cosiddetto “human firewall”, verso comportamenti cauti e responsabili nell’uso della tecnologia, come non scaricare app da mercati di terze parti o evitare di rimuovere le misure di sicurezza dallo smartphone per poter essere più “liberi” e cioè assumere atteggiamenti che espongono a dei rischi.

Punto più tecnico ma a mio avviso ancora più urgente, è risolvere il problema del modello di attacco così detto di “watering hole”, nato per il web ma replicato su altri ecosistemi: in questo modello di attacco si colpisce un end-point usato da un numero elevatissimo di potenziali vittime, avendo di fatto, colpito solo l’end-point.

Il procedimento, molto noto e sfruttato dagli attaccanti in numerosi contesti, soprattutto nel web o negli attacchi rivolti al flashing dei dispositivi, necessita di una profonda riflessione da parte dei produttori di tecnologia.

Detta riflessione non deve fermarsi alla sola maggiore attenzione (da porre verso i pen test, l’adozione di tecniche di defensive programming e la prassi di svolgere affidabili ispezioni di codice per la sicurezza), ma deve anche garantire elevata robustezza alle librerie, ai dispositivi e al software ovvero a tutte quelle risorse che possono generare l’effetto del watering hole.

Sebbene la vulnerabilità in questione sia stata “patchata” ad aprile, ancora a settembre diverse decine di migliaia di applicazioni erano ancora vulnerabili, perché gli sviluppatori non aggiornavano le loro app con una versione della Google Play Core Library sicura.

Quindi questa vulnerabilità ha mostrato anche la debolezza del meccanismo del crowdsourcing, laddove cioè si lascia chiunque libero non tanto di produrre, quanto di manutenere software che viene distribuito a milioni di utenti, con l’evidente effetto collaterale di non essere sempre tempestivi nell’aggiornare le proprie app.

Questo problema è analogo, per esempio, all’uso di codice preso da forum come Stack Overflow; in effetti, è stato già evidenziato in letteratura di codice insicuro prelevato dai forum e inserito, nella sua versione insicura e vulnerabile, in software open source, mentre per quelli closed source non si dispone ancora di studi.

Quindi, per concludere, al di là di invocare una maggiore consapevolezza negli utenti, quello che serve davvero ora e con urgenza è rivedere questi ecosistemi basati sul crowd sourcing, perchè le vulnerabilità potrebbero essere fortemente limitate dall’adozione di processi più rigorosi e robusti.

WHITEPAPER
Vantaggi economici, flessibilità e scalabilità: perché scegliere il cloud oggi!
Cloud
Digital Transformation
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr