Rischio Android: difendersi da Certifi-gate

di Alessia Valentini

13 Ottobre 2015 11:34

logo PMI+ logo PMI+
Dispositivi Android di privati e aziende minacciati da Certifi-gate: caratteristiche dell'attacco e strategie per contrastarla.

Check Point ha scoperto da tempo una vulnerabilità, ancora critica, che riguarda Android e denominata Certifi-gate. Per capire come difendersi e minimizzare i rischi, ne abbiamo parlato con Michael Shaulov, Head of Mobility Product Management della società. Come funziona? Analizzando i metodi di verifica con cui le componenti mRST (Mobile Remote Support Tools) accettano le applicazioni da remoto, è stato individuato un bug che rende i plugin mRST vulnerabili, perché l’autenticazione può essere compromessa. Dal white paper Check Point sul meccanismo di attacco ed esfiltrazione di dati, emerge come lo sfruttamento della vulnerabilità è alla portata di molti informatici: sono sufficienti competenze nella media.

=> Applicazioni Android: ultime novità

Certifi-gate

Creando e divulgando via Google Play Store un app dannosa, sfruttando la vulnerabilità Certifi-gate un hacker può nascondersi come supporto remoto originale, con privilegi di sistema nel dispositivo e, connettendosi ai plugin vulnerabili, può superare i limiti di sicurezza accedendo a permessi avanzati. Questo bypass garantisce l’abilitazione di accesso e il controllo completo del dispositivo e dei dati sensibili e/o aziendali dell’utente, permettendo il possibile furto di dati personali, la localizzazione del dispositivo, la visione dello schermo, la simulazione dei click dell’utente e l’ accensione da remoto del microfono per registrare una conversazione.

=>Sicurezza Mobile: news e approfondimenti

Un esempio è la creazione di app flashlight senza permessi, che comunichi con il plugin del dispositivo: quando si stabilisce una comunicazione, si realizza l’accesso completo attraverso l’app flagship. L’utente potrebbe essere indotto a scaricare l’app sia da uno store online, mediante ingegneria sociale tradizionale o tecniche di spear phishing.

Difendersi

In attesa che produttori di dispositivi e fornitori di servizi wireless rilascino  un aggiornamento di sicurezza contro Certifi-gate, si consiglia di verificare spesso la pubblicazione di bollettini o strumenti di patching. Come ricorda Shaulov, il punto è che Android:

«Sconta il problema della frammentazione: esistono tante versioni del software e di dispositivi hardware, che richiederebbero sessioni di test e sviluppo di patch specifiche da parte di OEM e fornitori. Proprio a causa di questo difetto “d’impostazione” alla base del ciclo produttivo del codice software, si consiglia di intervenire sul proprio dispositivo sia in termini di detection, di contromisure, ma anche e soprattutto in termini di comportamenti preventivi, secondo il vecchio detto popolare per cui “prevenire è meglio che curare».

Sulla base delle linee guida rilasciate da Chech Point a suo tempo, diversi fornitori di mRST hanno rilasciato patch per i plugin vulnerabili, ma il problema persiste in quanto mancano quelle per i plugin pre-installati). Inoltre, un hacker potrebbe ancora ingannare l’utente e convincerlo a installare una precedente versione vulnerabile di un plugin, attaccandolo in seguito per i privilegi d’accesso. Tra l’altro, le a di sistema devono essere aggiornate attraverso il ciclo di patch degli OEM, potrebbero quindi passare mesi prima che siano disponibili.

=> Speciale Mobile Apps

Limitare i rischi

in attesa della risoluzione effettiva, Check Point raccomanda di compiere vari passaggi per diminuire il rischio:

  1. Esaminare le applicazioni prima di installarle per assicurarsi che siano autorizzate.
  2. Interpellare il produttore del dispositivo e il fornitore di rete mobile su eventuali aggiornamenti delle impostazioni di sicurezza.
  3. Installare l’ultima versione di Android e la propria ROM appena disponibili.
  4. Disinstallare o disabilitare, quando possibile, i plugin RST attenendosi alle indicazioni del fornitore.
  5. Evitare applicazioni di fornitori terzi sconosciuti o proposte attraverso link non noti.
  6. Utilizzare una soluzione di sicurezza mobile contro malware già presenti sul dispositivo. 

Strumenti ad hoc

Per capire se si a rischio, Check Point ha predisposto un’app scanner scaricabile da Google Play. Per contrastare la minaccia propone invece la soluzione MTP (Mobile Threat Prevention), che effettua la detection, blocca Certifi-gate e altre minacce per iOS e Android e offre una threat intelligence in tempo reale integrata nelle infrastrutture mobili e di sicurezza presenti nelle aziende.

Per approfondire: white paper Check Point.