AndroidApp

Bug di Android permette alle app di chiamare

Un bug presente nella maggior parte dei dispositivi Android consente alle applicazioni di avviare chiamate telefoniche non autorizzate, di interrompere chiamate in corso e di eseguire codici speciali che possono innescare altre azioni malevole.

Il difetto è stato trovato e segnalato a Google lo scorso anno da ricercatori della società di consulenza di sicurezza Curesec, con sede a Berlino, che credono sia stato introdotto nella versione Android 4.1.x, nota anche come Jelly Bean. La vulnerabilità sembra essere stata risolta in Android 4.4.4, rilasciato il 19 giugno.

bug-android-informatblog

Tuttavia, l’ultima versione di Android è disponibile solo per un numero limitato di dispositivi e rappresenta attualmente una percentuale molto piccola di installazioni di Android in tutto il mondo. Sulla base delle statistiche di Google, quasi il 60% dei dispositivi Android collegati a Google Play all’inizio di giugno ha installate le versioni 4.1.x, 4.2.x e 4.3 del sistema operativo mobile. Un altro 13% ha installate le versioni 4.4, 4.4.1, 4.4.2 o 4.4.3, che sono anch’esse vulnerabili. La versione 4.4.4 non era stata rilasciata in quel momento.

Qualsiasi chiamata, in qualsiasi momento

Il bug permette alle applicazioni senza alcuna autorizzazione di sorta di terminare le chiamate in uscita o chiamare qualsiasi numero, compresi quelli a numerazione speciale, senza l’interazione dell’utente. Ciò ignora il modello di sicurezza di Android, dove le applicazioni senza l’autorizzazione CALL_PHONE non dovrebbero, in circostanze normali, essere in grado di effettuare telefonate.

Il difetto può anche essere sfruttato per eseguire USSD (Unstructured Supplementary Service Data) o codici MMI (Man-Machine Interface). Questi codici speciali sono immessi tramite la tastiera, sono racchiusi tra caratteri * e #, e variano tra dispositivi e supporti diversi. Essi possono essere utilizzati per accedere alle varie funzioni del dispositivo o servizi operatore.

“L’elenco dei codici USSD/MMI è lungo e ce ne sono alcuni abbastanza potenti che servono ad esempio a cambiare il flusso delle telefonate (forwarding), a bloccare la carta SIM, ad attivare o disattivare le chiamate con l’anonimo e così via”, ha detto Venerdì in un post sul suo blog Marco Lux, CEO di Curesec.

Una diversa vulnerabilità di Android scoperta nel 2012 ha permesso l’esecuzione di codici USSD e MMI visitando una pagina dannosa. I ricercatori scoprirono che alcuni di essi avrebbero potuto essere utilizzati per ripristinare alcuni telefoni Samsung con le impostazioni predefinite di fabbrica, cancellando tutti i dati utente nel processo. Un altro codice ha consentito cambiare il PIN della carta e avrebbe potuto essere utilizzato per bloccare la scheda SIM inserendo il PUK sbagliato diverse volte.

Rischi dovuti alla mancanza di aggiornamenti

La nuova vulnerabilità potrebbe essere sfruttata dai malware per qualche tempo, soprattutto perché il tasso di aggiornamento dei dispositivi Android è molto lento, molti dispositivi addirittura non vengono mai aggiornati alle versioni più recenti.

“Un utente malintenzionato potrebbe, per esempio, ingannare le sue vittime convincendole a installare un’applicazione manomessa e quindi utilizzarla per chiamare numeri a tariffa maggiorata che possiedono o ascoltare le conversazioni”, ha dichiarato Bogdan Botezatu, un analista senior di Bitdefender che ha confermato il bug scoperto dai ricercatori Curesec lunedi. “L’approccio verso le numerazioni speciali sembra più plausibile, soprattutto perché Android non schermare i numeri a tariffa maggiorata, come invece accade con i messaggi di testo.”

L’attacco non è esattamente nascosto, in quanto gli utenti possono vedere che una chiamata è in corso guardando il telefono, ma ci sono modi per rendere più difficile la rilevazione. Una app malintenzionata potrebbe aspettare fino a quando non rileva attività sul telefono prima di avviare una chiamata o potrebbe eseguire l’attacco solo durante la notte, ha detto lunedi via email Lux. L’applicazione potrebbe anche sovrapporre completamente lo schermo di chiamata con qualcos’altro, come un gioco, ha detto.

I ricercatori Curesec hanno creato un’applicazione che gli utenti possono installare per verificare se i loro dispositivi sono vulnerabili, ma non l’hanno pubblicata su Google Play. Per quanto ne sa Lux, Google sta adesso scansionando il Play Store per cercare le applicazioni che tentano di sfruttare la vulnerabilità.

L’unica protezione per gli utenti che non installano l’aggiornamento Android 4.4.4 sarebbe quella di installare un’applicazione separata che intercetta tutte le chiamate in uscita e chiede conferma prima di procedere, ha detto Lux, che assieme al suo team hanno identificato anche una vulnerabilità nelle vecchie versioni di Android, ovvero dalla 2.3.3 alla 2.3.6, che ha lo stesso effetto. Tali versioni di Android sono stati ancora utilizzate da circa il 15% dei dispositivi Android, secondo i dati di Google di questo giugno. Google non ha risposto alle richieste di un commento ufficiale.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti