Check Point ha scoperto da tempo una vulnerabilità, ancora critica, che riguarda Android e denominata Certifi-gate. Per capire come difendersi e minimizzare i rischi, ne abbiamo parlato con Michael Shaulov, Head of Mobility Product Management della società. Come funziona? Analizzando i metodi di verifica con cui le componenti mRST (Mobile Remote Support Tools) accettano le applicazioni da remoto, è stato individuato un bug che rende i plugin mRST vulnerabili, perché l’autenticazione può essere compromessa. Dal white paper Check Point sul meccanismo di attacco ed esfiltrazione di dati, emerge come lo sfruttamento della vulnerabilità è alla portata di molti informatici: sono sufficienti competenze nella media.
=> Applicazioni Android: ultime novità
Certifi-gate
Creando e divulgando via Google Play Store un app dannosa, sfruttando la vulnerabilità Certifi-gate un hacker può nascondersi come supporto remoto originale, con privilegi di sistema nel dispositivo e, connettendosi ai plugin vulnerabili, può superare i limiti di sicurezza accedendo a permessi avanzati. Questo bypass garantisce l’abilitazione di accesso e il controllo completo del dispositivo e dei dati sensibili e/o aziendali dell’utente, permettendo il possibile furto di dati personali, la localizzazione del dispositivo, la visione dello schermo, la simulazione dei click dell’utente e l’ accensione da remoto del microfono per registrare una conversazione.
=>Sicurezza Mobile: news e approfondimenti
Un esempio è la creazione di app flashlight senza permessi, che comunichi con il plugin del dispositivo: quando si stabilisce una comunicazione, si realizza l’accesso completo attraverso l’app flagship. L’utente potrebbe essere indotto a scaricare l’app sia da uno store online, mediante ingegneria sociale tradizionale o tecniche di spear phishing.
Difendersi
In attesa che produttori di dispositivi e fornitori di servizi wireless rilascino un aggiornamento di sicurezza contro Certifi-gate, si consiglia di verificare spesso la pubblicazione di bollettini o strumenti di patching. Come ricorda Shaulov, il punto è che Android:
«Sconta il problema della frammentazione: esistono tante versioni del software e di dispositivi hardware, che richiederebbero sessioni di test e sviluppo di patch specifiche da parte di OEM e fornitori. Proprio a causa di questo difetto “d’impostazione” alla base del ciclo produttivo del codice software, si consiglia di intervenire sul proprio dispositivo sia in termini di detection, di contromisure, ma anche e soprattutto in termini di comportamenti preventivi, secondo il vecchio detto popolare per cui “prevenire è meglio che curare».
Sulla base delle linee guida rilasciate da Chech Point a suo tempo, diversi fornitori di mRST hanno rilasciato patch per i plugin vulnerabili, ma il problema persiste in quanto mancano quelle per i plugin pre-installati). Inoltre, un hacker potrebbe ancora ingannare l’utente e convincerlo a installare una precedente versione vulnerabile di un plugin, attaccandolo in seguito per i privilegi d’accesso. Tra l’altro, le a di sistema devono essere aggiornate attraverso il ciclo di patch degli OEM, potrebbero quindi passare mesi prima che siano disponibili.
=> Speciale Mobile Apps
Limitare i rischi
in attesa della risoluzione effettiva, Check Point raccomanda di compiere vari passaggi per diminuire il rischio:
- Esaminare le applicazioni prima di installarle per assicurarsi che siano autorizzate.
- Interpellare il produttore del dispositivo e il fornitore di rete mobile su eventuali aggiornamenti delle impostazioni di sicurezza.
- Installare l’ultima versione di Android e la propria ROM appena disponibili.
- Disinstallare o disabilitare, quando possibile, i plugin RST attenendosi alle indicazioni del fornitore.
- Evitare applicazioni di fornitori terzi sconosciuti o proposte attraverso link non noti.
- Utilizzare una soluzione di sicurezza mobile contro malware già presenti sul dispositivo.
Strumenti ad hoc
Per capire se si a rischio, Check Point ha predisposto un’app scanner scaricabile da Google Play. Per contrastare la minaccia propone invece la soluzione MTP (Mobile Threat Prevention), che effettua la detection, blocca Certifi-gate e altre minacce per iOS e Android e offre una threat intelligence in tempo reale integrata nelle infrastrutture mobili e di sicurezza presenti nelle aziende.
Per approfondire: white paper Check Point.
