Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Minacce

Milioni di dispositivi Android vulnerabili al nuovo attacco “Cloak & Dagger”

Cloak & Dagger  dispositivi mobili   lunedì, 29 maggio 2017

Immagine decorativaUn team di ricercatori di sicurezza della University of California e del Georgia Institute of Technology ha individuato una nuova categoria di attacchi, battezzata con il nome collettivo Cloak & Dagger (cappa e spada), che colpisce i dispositivi mobili dotati del sistema operativo Android.

Gli attacchi non sfruttano particolari vulnerabilità o bug, ma si basano sulle seguenti due autorizzazioni delle app:

  • SYSTEM_ALERT_WINDOW (“draw on top”): consente ad un’app di creare una finestra di “overlay” che viene mostrata al di sopra di tutte le altre app.
  • BIND_ACCESSIBILITY_SERVICE (“a11y”): è un’autorizzazione richiesta dai servizi per l’accessibilità che consentono agli utenti con disabilità di interagire con il dispositivo e le app.

L’autorizzazione “draw on top” (in Italiano, “Disegna sopra altre applicazioni”) viene concessa come impostazione predefinita alle app scaricate da Google Play. In questo scenario, un’app malevola può sfruttare questa autorizzazione per indurre l’utente ad abilitare l’autorizzazione “a11y” (contrazione di “Accessibility”) mediante clickjacking (cattura dei clic sfruttando elementi di interfaccia ingannevoli).

Stando a quanto riportato dagli scopritori, gli attacchi risultano efficaci con tutte le versioni di Android a partire dalla 5.1.1 (Lollipop), fino alla più recente 7.1.2 (Nougat). Se condotti con successo, gli attacchi consentono ad un’app malevola di interferire nell’interazione con l’interfaccia utente ed ottenere il controllo completo del dispositivo all’insaputa del proprietario.

In particolare, un’app fraudolenta potrebbe sfruttare gli attacchi Cloak & Dagger per compiere le seguenti azioni malevole:

Attacchi che sfruttano l’autorizzazione “draw on top”:

  • Clickjacking sensibile al contesto e occultamento del contesto: due tecniche che consentono di indurre l’utente ad abilitare i servizi per l’accessibilità.
  • Attacco della griglia invisibile: consente la cattura non vincolata del testo digitato, incluse password, messaggi privati, ecc.

Attacchi che sfruttano l’autorizzazione “a11y”:

  • Cattura non vincolata del testo digitato, incluse password.
  • Furto del PIN di sicurezza.
  • Sblocco del dispositivo mediante iniezione del PIN e azioni arbitrarie a schermo spento.
  • Furto di token per l’autenticazione a due fattori (basato su SMS, su Google Authenticator e altri)
  • Hijacking di annunci pubblicitari.
  • Esplorazione Web.

Attacchi che sfruttano entrambe le autorizzazioni:

  • Installazione silenziosa di app “God-mode” (con tutte le autorizzazioni abilitate).
  • Attacco di phishing furtivo.

Risultano sicuramente vulnerabili agli attacchi Cloak & Dagger le seguenti versioni del sistema operativo Android (tra parentesi la quota di installazioni sul totale dei sistemi Android utilizzati in tutto il mondo):

  • Android 5.x Lollipop (32%)
  • Android 6.0 Marshmallow (31.2%)
  • Android 7.x Nougat (7.1%)

Sulla base dei dati pubblicati da Google, si stima che siano in circolazione circa 800 milioni di dispositivi potenzialmente vulnerabili a questi attacchi.

Sul sito dedicato a Cloak & Dagger sono disponibili ulteriori informazioni sugli attacchi, compresi video dimostrativi degli exploit.

Al momento non sono stati rilasciati aggiornamenti del sistema Android che risolvono i problemi evidenziati, in quanto si tratta per lo più di difetti di progettazione o di caratteristiche introdotte intenzionalmente nel sistema dagli sviluppatori. In particolare, i difetti legati all’interfaccia utente sono difficilmente risolvibili in quanto un correttivo potrebbe introdurre problemi di compatibilità con app sviluppate per una versione precedente del sistema.

Per mitigare questa minaccia si consiglia agli utenti Android di controllare quali applicazioni installate sul loro dispositivo richiedono le autorizzazioni “draw on top” e “a11y”. Questa procedura varia a seconda della versione di Android. Si suggerisce di fare riferimento alla seguenti guide di Google Play:

Le impostazioni per l’accessibilità si trovano solitamente sotto Impostazioni › Accessibilità.

In generale, si raccomanda agli utenti di dispositivi Android di evitare assolutamente di scaricare app dagli store non ufficiali e di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play.


Android è un marchio di Google Inc. Il robot Android è riprodotto o modificato dal lavoro creato e condiviso da Google e utilizzato nel rispetto dei termini descritti nella licenza Creative Commons Attribuzione 3.0.

Notizie correlate

Il ransomware LeakerLocker scoperto in due app su Google Play

10 luglio 2017

I ricercatori di sicurezza di McAfee hanno scoperto un nuovo tipo di ransomware, battezzato LeakerLocker, che colpisce i dispositivi mobili equipaggiati con il sistema operativo Android.Leggi tutto

Il trojan per Android “kskas” scaricato automaticamente da annunci malevoli

9 giugno 2017

I ricercatori di sicurezza di Zscaler hanno individuato un nuovo trojan per Android che viene scaricato automaticamente attraverso annunci pubblicitari malevoli.Leggi tutto

Scoperte più di 50 app su Google Play contenenti il trojan per Android Judy

30 maggio 2017

I ricercatori di sicurezza di Check Point hanno scoperto una nuova famiglia di trojan per Android, denominata Judy, nascosta all'interno di più di 50 app presenti su Google Play.Leggi tutto