L'ANALISI TECNICA

StrandHogg 2.0, il bug in tutte le versioni di Android che consente di rubare dati sensibili: i dettagli

Si chiama StrandHogg 2.0 il bug (già patchato) che colpisce le versioni di Android fino alla 9 e consente ai criminal hacker di sfruttare applicazioni legittime (tra cui anche l’app di contact tracing Immuni) per prendere il controllo dei dispositivi e rubare dati sensibili. I consigli per mitigare il rischio di un attacco

27 Mag 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


È stata soprannominata StrandHogg 2.0 una nuova vulnerabilità scoperta dai ricercatori Promon legata alla gestione dei privilegi nei sistemi operativi Android e che risulta essere ancora più pericolosa e insidiosa di quella precedentemente osservata dagli stessi ricercatori alla fine del 2019 (StrandHogg).

StrandHogg 2.0 ha un impatto su tutti i dispositivi mobile sui quali è installata la versione di Android 9.0 o inferiore (Android 10 non sembrerebbe al momento essere interessato dalla vulnerabilità) e può essere sfruttato dagli aggressori anche senza accesso root.

L’exploiting della vulnerabilità StrandHogg consente ai criminal hacker di camuffare applicazioni dannose facendole identificare come legittime al sistema operativo e, quindi, di rubare informazioni sensibili praticamente a tutti gli utenti Android.

La vulnerabilità è stata classificata con indice di gravità elevato da Google e identificata come CVE-2020-0096. L’annuncio della scoperta da parte dei ricercatori Promon è stato concordato con Big G per concedere agli sviluppatori un tempo ragionevole per rilasciare la patch.

I dettagli della vulnerabilità StrandHogg 2.0

A differenza del suo predecessore, StrandHogg 2.0:

  • riesce ad assumere l’identità delle app legittime pur mantenendosi completamente nascosto attraverso un meccanismo di riflessione, senza la necessità di utilizzare l’impostazione di controllo Android “TaskAffinity” per le funzionalità multitasking, che potrebbe lasciare ulteriori evidenze tracciabili;
  • consente all’app dannosa installata di prendere il pieno controllo contemporaneo di più app su un determinato dispositivo, senza richiedere l’accesso di root o altra autorizzazione per l’esecuzione (StrandHogg poteva attaccare invece solo un’app alla volta nelle stesse condizioni);
  • offusca ulteriormente l’attacco in quanto non richiede alcuna configurazione per la sua esecuzione: per sfruttare la vulnerabilità StrandHogg, invece, era necessario un inserimento esplicito delle app da colpire in Android Manifest tramite un file XML di configurazione (AndroidManifest.xml).

A dimostrazione della pericolosità della nuova vulnerabilità StrandHogg 2.0, i ricercatori di sicurezza hanno pubblicato anche un video con una prova di concetto (PoC, Proof of Concept).

Dopo un semplice tocco da parte dell’utente sull’icona dell’app legittima, viene visualizzata in realtà una sua versione malevola. Se la vittima ignara immette quindi le proprie credenziali di accesso all’interno di questa interfaccia, queste saranno immediatamente inviate all’attaccante.

In tal modo, i criminal hacker una volta installata l’app dannosa sul telefonino, possono ottenere l’accesso a messaggi, foto, credenziali e tenere traccia dei movimenti GPS, controllare fotocamera e microfono e registrare conversazioni telefoniche.

Possibile minaccia anche per l’app Immuni

Come previsto dagli stessi ricercatori Promon, con molta probabilità i criminal hacker, per garantirsi una superficie d’attacco più ampia, svilupperanno altri malware sfruttando entrambe le vulnerabilità (StrandHogg e StrandHogg 2.0).

Già adesso, comunque, StrandHogg 2.0 rappresenta un serio pericolo soprattutto per gli utenti finali in quei paesi come l’Italia che stanno adottando con piani nazionali la distribuzione di app per la gestione del contact tracing nell’emergenza coronavirus (nel nostro Paese, lo ricordiamo, l’app prescelta è Immuni, sviluppata da Bending Spoons).

I criminal hacker potrebbero infatti sfruttare la probabile elevata diffusione dell’app per il controllo della pandemia di Covid-19 per nascondere le loro applicazioni malevoli e colpire facilmente milioni di ignare vittime.

Come mitigare i rischi di un attacco

In considerazione delle diverse modalità di mitigazione di questi exploit e tenendo conto che al momento solo la versione 10 di Android 10 sembrerebbe essere immune dalla nuova vulnerabilità StrandHogg 2.0, è opportuno aggiornare quanto prima i sistemi operativi in uso sui propri smartphone.

Al riguardo, secondo i dati riportati da Google, ancora una grande percentuale di utenti Android risulterebbe essere a rischio, avendo in esecuzione sui propri dispositivi mobile versioni precedenti del sistema operativo.

Anche per questo motivo nello scorso mese di aprile, Google ha rilasciato una patch di sicurezza per le versioni Android 8.0, 8.1 e 9.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5