La sicurezza dei dispositivi Android è uguale per tutti?
Numerose ricerche pubblicate da F-Secure Labs dimostrano che le configurazioni e le impostazioni predefinite specifiche per zone geografiche in alcuni dispositivi Android di punta stanno creando problemi di sicurezza che colpiscono le persone in alcuni Paesi, ma non in altri.
Secondo James Loureiro, Director of Research di F-Secure Consulting in UK, la ricerca evidenzia i compromessi di sicurezza cui i produttori possono inavvertitamente scendere quando personalizzano le versioni Android.
“Si presume che i dispositivi che condividono lo stesso marchio funzionino allo stesso modo, indipendentemente da dove ti trovi nel mondo. Tuttavia, la personalizzazione effettuata da fornitori terzi come Samsung, Huawei e Xiaomi può lasciare questi dispositivi con una sicurezza significativamente scarsa a seconda del Paese in cui è installato un dispositivo o della scheda SIM al suo interno”, ha affermato Loureiro. “In particolare, abbiamo visto dispositivi forniti con oltre 100 applicazioni aggiunte dal produttore, introducendo una superficie di attacco significativa che cambia in base alla zona geografica.”
Insicuri di default
I produttori spesso forniscono le proprie app con i telefoni. Questi possono offrire vantaggi aggiuntivi agli utenti che aiutano a differenziare i telefoni dei fornitori dai concorrenti. Ma ci sono aspetti negativi in tutto ciò. E possono essere più significativi che fornire agli utenti un sacco di app extra che magari non useranno mai.
Un numero eccessivo di app non fa bene alla sicurezza. Espande la superficie di attacco di un dispositivo offrendo agli attaccanti più potenziali bersagli. Dopo tutto, con più funzionalità su un gadget ci sono più cose che possono andare storte. E quando queste app sono incluse nella configurazione predefinita del dispositivo, le vulnerabilità nelle app possono causare problemi di sicurezza per l’intero dispositivo. È così che Loureiro e i suoi colleghi sono stati in grado di sviluppare un attacco per compromettere Mate 9 Pro di Huawei.
L’accesso a Google Play è vietato in Cina. Ciò costringe i produttori a offrire i propri app store al suo posto. I dispositivi Huawei hanno un app store dedicato chiamato Huawei AppGallery. La ricerca di F-Secure Consulting ha rilevato molteplici vulnerabilità all’interno di Huawei AppGallery che un utente malintenzionato potrebbe sfruttare per creare un punto di innesco per il lancio di ulteriori attacchi. A seguito di questa compromissione iniziale, un utente malintenzionato potrebbe sfruttare ulteriori vulnerabilità scoperte dai ricercatori in Huawei iReader per eseguire codice e sottrarre dati dal dispositivo.
Alcune persone potrebbero essere tentate di identificare questo problema come una situazione limitata alla Cina a causa delle restrizioni locali. Tuttavia, la ricerca su Xiaomi Mi 9 mostra che non è così semplice.
Manipolando gli utenti (ad esempio tramite email o messaggi SMS) e facendo visitare un sito web controllato da un utente malintenzionato, la ricerca di F-Secure Consulting dimostra che è possibile compromettere la configurazione predefinita dello Xiaomi Mi 9 per Cina, India, Russia e forse altri Paesi. Sfruttando le vulnerabilità scoperte dai ricercatori nello store GetApps di Xiaomi, un utente malintenzionato potrebbe assumere il pieno controllo del dispositivo. La stessa ricerca ha messo in evidenza un secondo attacco simile condotto tramite tag NFC controllati dagli attaccanti. Entrambi gli attacchi offrono agli avversari l’accesso di cui hanno bisogno per rubare dati o installare malware su dispositivi compromessi.
SIM di dubbia provenienza
Utilizzando un approccio più nuovo, i ricercatori di F-Secure hanno dimostrato un attacco contro il Samsung Galaxy S9 che non dipendeva da un’impostazione o configurazione del telefono stesso. È parzialmente basato sul modo in cui il telefono sembra cambiare il suo comportamento per diverse schede SIM. Il codice del dispositivo Samsung rileva il Mobile Country Code (MCC) utilizzato dalla scheda SIM. Alcune app modificano il loro comportamento se rilevano un MCC cinese (460). In un caso (meccanismo di aggiornamento GameServiceReceiver di Samsung), i ricercatori di F-Secure hanno imparato a utilizzare la modifica per compromettere il dispositivo.
Per eseguire questo attacco, un avversario deve manipolare un utente Galaxy S9 interessato in modo che si connetta a una rete Wi-Fi sotto il suo controllo (ad esempio mascherandola come Wi-Fi pubblico gratuito). Se il telefono rileva una SIM cinese, il componente interessato accetta aggiornamenti non crittografati, consentendo a un cyber criminale di compromettere il dispositivo con un attacco man-in-the-middle. In caso di successo, l’attaccante avrà il pieno controllo del telefono.
Una storia di due standard di sicurezza
F-Secure Consulting ha fatto la serie di scoperte negli ultimi anni mentre si preparava per le competizioni di hacking di Pwn2Own. A Pwn2Own, i partecipanti competono tra loro per compromettere i dispositivi selezionati sfruttando vulnerabilità precedentemente sconosciute (zero-day).
Tuttavia, queste vulnerabilità possono essere solo gocce in un grande mare di problemi di sicurezza. Secondo IDC, Android è il più importante sistema operativo al mondo per telefoni cellulari. In base a certe misurazioni, è il sistema operativo più diffuso.
A causa del predominio schiacciante sul mercato mondiale degli smartphone, il panorama frammentato dei problemi di sicurezza pone sfide significative. Toby Drew, Senior Security Consultant di F-Secure Consulting, che ha aiutato nella ricerca sull’attacco a Xiaomi Mi 9, teme che queste differenze geografiche stiano creando diversi livelli di sicurezza per le persone nei diversi Paesi.
“È importante che i produttori considerino le implicazioni di sicurezza quando personalizzano Android per diverse zone geografiche. Le persone in un’area non hanno più o meno diritto alla sicurezza di un’altra. E se hai lo stesso dispositivo configurato per fornire agli utenti un’esperienza meno sicura in una zona rispetto a un’altra, questo sta creando una disuguaglianza aumentando la loro esposizione agli attacchi”, afferma Toby.
Mark Barnes, Senior Security Researcher di F-Secure Consulting, che ha anche contribuito alla ricerca su Xiaomi Mi 9, sottolinea che, man mano che il numero di versioni Android personalizzate si diffonde, aumenta anche l’importanza della ricerca sulla sicurezza.
“Trovare problemi come questi su più telefoni noti mostra che questa è un’area che la community della security deve esaminare con maggiore attenzione”, ha affermato Barnes. “La nostra ricerca ci ha dato un’idea di quanto possa essere problematica la proliferazione di versioni Android personalizzate dal punto di vista della sicurezza. Ed è davvero importante sensibilizzare questo aspetto tra i produttori di dispositivi, ma anche le grandi organizzazioni con attività in diverse zone geografiche”.
Consigli
F-Secure non ha ricevuto segnalazioni o prove di questi attacchi al di fuori della propria ricerca. I fornitori dei prodotti interessati iscritti alle competizioni Pwn2Own sono invitati a partecipare all’evento dall’organizzatore, ZDI, per ricevere i dettagli delle vulnerabilità utilizzate dai partecipanti. Grazie a questo processo di divulgazione controllata, Huawei, Xiaomi e Samsung hanno corretto le vulnerabilità scoperte da F-Secure durante le loro ricerche. Finché gli utenti aggiornano i loro telefoni, dovrebbero essere al sicuro da questi particolari attacchi.
Ecco un elenco di CVE e consigli relativi alla ricerca per chiunque voglia saperne di più. Puoi anche dare un’occhiata alle altre ricerche pubblicate su F-Secure Labs:
Huawei Mate 9 Pro
CVE-2018-7931, CVE-2018-7932, CVE-2017-15308, CVE-2017-15309, CVE-2017-15310
https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20171120-01-hwreader-en
https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20180423-01-app-en
Samsung Galaxy S9
CVE-2019-6741, CVE-2019-6742
https://security.samsungmobile.com/securityUpdate.smsb (SMR-JAN-2019/SVE-2018-13474)
https://www.zerodayinitiative.com/advisories/ZDI-19-255/
Xiaomi Mi 9
CVE-2020-9530, CVE-2020-9531
https://sec.xiaomi.com/post/180
Categorie