Scoperte 8 vulnerabilità Android che mettono in pericolo lo smartphone
Tre ricercatori cinesi hanno scoperto grave vulnerabilità nel codice sorgente Android. Anche se riguardano le chiamate VoIP, permettono di installare virus
I componenti del sistema operativo per smartphone Android che si occupano di gestire le chiamate e le videochiamate con lo standard VoIP possono essere sfruttati dagli hacker per mettere in pericolo la sicurezza dei dispositivi. Lo hanno scoperto tre ricercatori, che hanno focalizzato 8 possibili falle alla sicurezza.
En He, del Cyber Security Lab di OPPO, Daoyuan Wu, dell’Università di Hong Kong e Robert Deng, dell’Università di Singapore, hanno infatti pubblicato un paper scientifico nel quale spiegano come un hacker può sfruttare queste falle per fare chiamate non autorizzate, rifiutare chiamate in ingresso e persino eseguire codice pericoloso sul dispositivo. E, di conseguenza, infettare lo smartphone con un virus. I tre ricercatori lavorano sulle falle alla sicurezza del VoIP da diversi anni, e ne hanno già risolte alcune in passato.
Falle al VoIP in Android: cosa si rischia
Android fornisce il supporto nativo di VoIP, inclusi i recenti standard VoLTE e VoWiFi. Mentre i lavori precedenti hanno analizzato i punti deboli dell’infrastruttura di rete VoIP e i problemi di privacy delle app VoIP di terze parti, non sono stati tentati sforzi per indagare la (in)sicurezza dell’integrazione del VoIP in Android a livello di sistema operativo.
Testando Android dalla versione 7.0 alla 9.0, i tre ricercatori hanno scoperto 8 vulnerabilità VoIP Android zero-day, tutte confermate da Google e premiate con ricompense economiche, come prevede il Google Vulnerability Reward Program.
Le conseguenze di queste otto falle sulla sicurezza sono gravi, e includono il rifiuto delle chiamate vocali, lo spoofing dell’ID del chiamante (si può cioè inviare una chiamata facendo credere a chi la riceve che il chiamante è un’altra persona), le chiamate non autorizzate e l’esecuzione di codice remoto. Per mitigare queste vulnerabilità e migliorare ulteriormente sicurezza del VoIP in Android, secondo i tre ricercatori, è necessario modificare parti del codice di Android.
Nessuno ha ancora sfruttato queste vulnerabilità
Per quel che risulta al momento, nessuno ha ancora usato queste vulnerabilità per sferrare un attacco. I ricercatori, d’altronde, le hanno scoperte con il “fuzz testing“, che consiste nel bombardare il sistema operativo con dati casuali o volutamente errati e osservare come reagisce, cercando anomalie come crash o errori di memoria.
Il team di ricerca ha bombardato in questo modo le API del VoIP di Android e poi ha controllato manualmente i registri ed eseguito controlli manuali del codice, come ultima fase della ricerca. Si tratta, quindi, di vulnerabilità che al momento sono più che altro “virtuali” ma che, se venissero scoperte da un hacker, potrebbero essere sfruttate per gli scopi già descritti.
