LOGIN
Nelle classifiche dei dispositivi presi di mira dagli hacker gli smartphone Android stanno scalando posizioni e oramai insidiano il primo posto dei computer. Il numero di telefonini che montano il sistema operativo del robottino verde supera abbondantemente il miliardo e oramai sono presenti in tutto il Mondo. Grazie alla sua natura open source, Android può essere infettato con molta facilità dagli hacker: basta trovare un utente un po' distratto e con poca dimestichezza con il mondo della sicurezza informatica per riuscire a installare sul suo smartphone un'applicazione infetta. Rispetto a iOS che permette di installare le applicazioni solamente dall'App Store, su Android ci sono molte alternative al Google play Store. Molti produttori di smartphone (ad esempio Samsung) hanno un proprio store online dove gli utenti possono scaricare le applicazioni, ma esistono negozi digitali gestiti anche da terze parti. E proprio in questi luoghi si annidano gli hacker: i controlli sugli store di terze parti sono minori rispetto a quelli presenti sul Google Play Store e pubblicare applicazioni dannose è molto più semplice.
Gli hacker sono sempre alla ricerca di nuovi modi per infettare gli smartphone con virus capaci di prendere il controllo dei dispositivi. Nell'ultimo periodo sono molto diffusi i ransomware, meglio conosciuti con il nome di virus del riscatto. Questo particolare tipo di malware blocca l'acceso al dispositivo e chiede un riscatto per liberarlo. In alcuni casi i pirati informatici minacciano anche l'utente di pubblicare informazioni personali sul web o di rivendere i dati nel dark web. Gli hacker sono sempre al lavoro e hanno sviluppato un nuovo attacco virus denominato Man-in-the-Disk. A scoprirlo sono stati gli esperti in sicurezza informatica di Check Point, azienda leader nel settore. Questo attacco informatico prende di mira gli smartphone Android che utilizzano una microSD per salvare le applicazioni. Molti device Android non hanno memoria sufficiente per installare le applicazioni e gli utenti fanno uso di memorie esterne per aumentare lo spazio di archiviazione. Ma le microSD non hanno gli stessi protocolli di sicurezza presenti nella memoria interna dello smartphone e gli hacker sfruttano questa falla per installare applicazioni infette che prendono il controllo dello smartphone.
Le differenze tra memoria interna e memoria esterna
Per meglio capire come funziona l'attacco Man-in-the-Disk è necessario partire dalle basi e spiegare le differenze tra memoria interna e memoria esterna di uno smartphone.
La memoria interna è conosciuta anche come "memoria di sistema" ed è una componente degli smartphone Android dove i produttori installano il sistema operativo, i driver e le applicazioni più importanti. Tutto lo spazio rimanente può essere utilizzato dall'utente per installare altre applicazioni oppure per salvare file, documenti, immagini e video. Tutti i contenuti presenti nella memoria interna sono protetti da un ambiente sandbox che non permette alle applicazioni di comunicare tra di loro. Ma come detto, molti smartphone Android non hanno spazio a sufficienza per installare tutte le applicazioni che vorrebbero gli utenti e per questo motivo si utilizzano memorie esterne, le famose microSD. Questi supporti esterni, però, non garantiscono gli stessi standard di sicurezza delle memorie interne e possono compromettere gli smartphone. Non è un caso che le app sviluppate dagli hacker chiedono agli utenti il permesso di accedere alla memoria esterna per installare piccole parti delle applicazioni. Queste piccole parti non sono altro che virus che infettano le "app buone" e infettano tutto il dispositivo.
Come funzionano gli attacchi Man-in-the-Disk
Come dimostrato dai ricercatori informatici di Check Point gli attacchi Man-in-the-Disk operano in due modi differenti: cercano di mandare in crash le altre applicazioni oppure le aggiornano a una versione infetta.
Per dimostrare la pericolosità dell'attacco Man-in-the-Disk, gli esperti di Check Point hanno sviluppato un'applicazione per la torcia infetta e l'hanno installato su uno smartphone Android. Appena si avvia l'applicazione, viene richiesto il permesso di accedere alla memoria esterna e subito comincia l'opera di sabotaggio dell'applicazione. Se sullo smartphone sono installate altre applicazioni per la torcia, appena le avvieremo andranno in crash e non funzioneranno.
L'altra modalità di funzionamento dell'attacco Man-in-the-Disk è molto più pericolosa. L'app infetta monitora la memoria esterna e aspetta il momento in cui le altre applicazioni ricevono gli aggiornamenti. Quando è il momento di fare l'update, l'app infetta sostituisce i file dell'aggiornamento con una versione in cui sono presenti malware e virus. Una volta completato l'aggiornamento, lo smartphone sarà nelle mani degli hacker che potranno utilizzarlo per i loro scopi.
Quali sono le applicazioni che possono essere infettate da un attacco Man-in-the-Disk
Durante i test di Check Point sono molte le applicazioni popolari che possono subire un attacco Man-in-the-Disk, tra queste anche Google Translate, l'app per la digitazione vocale di Google e il browser di Xiaomi. Check Point ha contattato le due aziende e Google ha risposto che ha già pronta una patch per risolvere il problema, mentre Xiaomi ha preferito non affrontare il problema.
Come difendersi da un attacco Man-in-the-Disk
La colpa degli attacchi Man-in-the-Disk è delle software house che non rispettano le linee guida di Android per lo sviluppo delle applicazioni. Tra le best practice consigliate da Android ce ne sono alcune che riguardano proprio le memorie esterne e che suggeriscono agli sviluppatori di utilizzare sistemi di sicurezza appropriati per proteggere le applicazioni che vengono installate sulla microSD. E che gli sviluppatori non sembrano seguire.
Per quanto riguarda gli utenti, invece, prima di accettare i permessi richiesti dalle applicazioni, controllate sempre che le richieste non siano stravaganti. Se l'applicazione vi chiede l'accesso alla fotocamera, al microfono e alla memoria esterna del dispositivo è meglio disinstallarla immediatamente.
19 agosto 2018
