Smartphone Android sotto attacco: scoperta nuova vulnerabilità
Una vulnerabilità di Android permette ai malware di "mascherarsi" da app legittime e rubare dati di ogni genere agli utenti, dalle foto agli SMS
Tutti i dispositivi Android sono a rischio, persino quelli aggiornati con Android 10. È quanto hanno scoperto i ricercatori di Promon, che hanno individuato una nuova vulnerabilità chiamata StrandHogg.
StrandHogg sarebbe molto semplice da sfruttare, perché si basa sul modo stesso in cui Android gestisce il multitasking delle app. Non solo: ci sarebbero già diversi malware in giro che la sfruttano per rubarci dati di ogni tipo: foto e video, tutto il contenuto della memoria di archiviazione, i dati di login dei nostri account, gli SMS e persino, tramite l’accesso al microfono, le nostre telefonate. Alla base della vulnerabilità StrandHogg c’è la funzionalità “taskAffinity“ di tutti i sistemi operativi Android. Tramite questa funzionalità una app può assumere qualunque identità essa desideri in un ambiente multitasking.
Come funziona StrandHogg
Nella pratica, grazie a StrandHogg, un malware può sovrapporre a qualunque schermata di una app legittima e pulita una propria schermata in overlay. Tale schermata simulerà la grafica dell’app, in modo da camuffarsi. Così, ad esempio, se il nostro smartphone è infetto da un malware che sfrutta StrandHogg, è possibile che l’utente apra una app qualunque e il contenuto dell’app venga mascherato da una schermata creata ad hoc per richiedere autorizzazioni, invitare l’utente a fare un login o a fare tap su un link.Questa schermata non viene controllata dall’app legittima (che resta in background) e raccoglie dati per conto degli hacker per poi inviarglieli. Poiché tramite StrandHogg è possibile anche invitare l’utente a concedere i permessi per l’accesso alle risorse del dispositivo (ma l’utente crede di concederle all’app legittima), è facile per gli hacker ottenere l’accesso a tutto ciò che desiderano. Compresi gli SMS, che spesso sono usati come secondo fattore di autenticazione per l’accesso ai conti correnti online.
StrandHogg: 36 app la usano, centinaia sono vulnerabili
Promon ha già trovato sul Play Store 36 app infette che veicolano malware in grado di sfruttare StrandHogg. Tali app sono state rimosse da Google, che però non ha ancora rilasciato una patch per correggere questa vulnerabilità. Sono centinaia le app che potrebbero essere usate per un attacco tramite StrandHogg e, tra di esse, ci sono le 500 app più scaricate dal Play Store. Centinaia e centinaia di milioni, invece, sono gli smartphone e i dispositivi Android potenzialmente attaccabili.
Come difendersi da StrandHogg
Non c’è, purtroppo, un modo semplice per capire se la schermata che abbiamo di fronte agli occhi è stata generata realmente dall’app che stiamo usando o da un malware tramite StrandHogg. Ci sono, però, alcuni campanelli d’allarme ai quali dovremmo stare attenti. Se una app ci chiede nuovamente di inserire i dati d’accesso senza apparente motivo, ad esempio, è assai probabile che non sia realmente l’app a chiedercelo ma il malware che ha sovrapposto una finestra alla app in questione. Stessa cosa se ci viene nuovamente richiesto di concedere i permessi alla app, di inserire informazioni che abbiamo già comunicato, di fare tap senza apparente motivo su un link o un pulsante.
