Un miliardo di telefoni Android sono hackerabili. La scoperta è di Joshua Drake, un ricercatore di Zimperium Mobile Security, un centro di ricerca sulla sicurezza dei dispositivi mobili con sede a San Francisco, in California. Il tutto verrà presentato il 5 agosto alla conferenza mondiale Black Hat Usa, ma sono già note le prime informazioni.
IL CUORE DI ANDROID
Sono state scoperte diverse vulnerabilità nel cuore del codice del sistema operativo Android che possono consentire ad un hacker di eseguire qualsiasi tipo di operazione [remote code execution] sul dispositivo bersaglio. Si tratta di almeno sette diverse vulnerabilità, la peggiore delle quali non prevede alcuna interazione da parte della vittima designata.
ACCESSO COMPLETO SENZA CLICK
L’attacco in questione prevede l’invio di uno speciale mms, codificato in modo da non necessitare nemmeno di essere aperto. Da quel momento l’hacker può accedere alle foto presenti sul dispositivo, alla rubrica, ai messaggi e persino registrare l’audio dal microfono ed il video dalla telecamera del dispositivo.
BASTA IL NUMERO DI TELEFONO
L’attacco è stato definito “la madre di tutte vulnerabilità per Android”, basta conoscere il numero di telefono della vittima, inviare un messaggio mms in qualsiasi momento, magari mentre la vittima sta dormendo, non c’è bisogno che apra il messaggio, non compaiono indicazioni che possano destare sospetto, ma da quel momento il suo telefono può essere controllato da un hacker. In alternativa all’invio del messaggio si può procedere utilizzando un sito web su cui la vittima si trova a navigare (ad esempio dopo aver ricevuto il link in email).
ESTREMAMENTE VULNERABILI
Sono vulnerabili quasi tutte le versioni di Android a partire dalla 2.2, si stima si tratti del 95% dei dispositivi esistenti sul mercato, un numero che raggiunge l’incredibile quota di 950 milioni di dispositivi. Alcuni esperti di sicurezza che hanno verificato la scoperta dei ricercatori – come Chris Wysopal, cto di Veracode -, affermano che “si tratta del più grave problema per il mondo mobile, vulnerabilità di questo tipo sono estremamente rare e creano enormi problemi di sicurezza per gli utenti perché possono essere utilizzate senza cliccare su alcuni link, senza aprire alcun file e senza leggere nessun sms”.
AGGIORNAMENTI, MA NON SUBITO
I ricercatori hanno segnalato le vulnerabilità a Google (che sviluppa il progetto Android) e stanno anche collaborando per realizzare gli aggiornamenti in grado di rimuovere le falle. Nelle ultime ore gli aggiornamenti di sicurezza sono in procinto di essere rilasciati dagli sviluppatori di Google però l’ostacolo maggiore consiste nella lentezza con cui questo genere di aggiornamenti viene acquisito dai numerosi produttori di dispositivi Android, in alcuni casi saranno necessari mesi prima che gli utenti ricevano l’aggiornamento ed in molti casi non verrà scaricato in automatico ma sarà a cura dell’utente il caricamento del nuovo sistema operativo.
UPGRADE OPZIONALE
Purtroppo questa è una nota problematica dell’ecosistema Android, ed è spesso evocata per evidenziare la differenza con il sistema operativo IOS della Apple, per il quale gli aggiornamenti sono molto più efficienti ed automatici. In alcuni casi è probabile che dispositivi usciti sul mercato da oltre 18 mesi non riceveranno affatto l’aggiornamento perché spesso i produttori di questi dispositivi supportano solo gli ultimi modelli. Per comprendere quanto sia grande il problema dell’aggiornamento dei dispositivi Android è utile citare alcuni numeri di una recente ricerca: a febbraio 2015 i dispositivi che avevano adottato il sistema operativo IOS 8 (ultima versione disponibile per Apple) erano il 72% dei dispositivi totali, quelli con sistema operativo Android 5 Lollipop (ultima versione disponibile per Google le) erano meno del 2% dei dispositivi totali.
È emblematico il caso dei dispositivi Nexus 5, il cui produttore è proprio Mountain View. Generalmente ricevono gli aggiornamenti prima di tutti gli altri dispositivi Android, ma in questo momento sono ancora vulnerabili alla minaccia in questione.
LA POLITICA DI GOOGLE
In queste ore si dibatte molto sui forum della Rete riguardo la politica di Google relativamente agli aggiornamenti di Android. Mountain View ha ancora molto poco controllo su aggiornamenti software, e gli utenti Android sono fondamentalmente in balia dei produttori di telefoni. Questa scelta fu fatta a suo tempo da Google perché cedere parte del controllo sul suo sistema operativo avrebbe fatto aumentare la quota di mercato a scapito di Apple. Oggi però molti contestano questa scelta, perché la pratica ha dimostrato che i produttori non sono in grado di garantire tempi accettabili per gli aggiornamenti. Come se per aggiornare Windows sul proprio notebook si dovesse attendere il rilascio dell’aggiornamento da parte del pc dopo quello rilasciato da Microsoft.
CHI È VULNERABILE
Secondo i dati rilasciati dai ricercatori, sono affetti dalla vulnerabilità in questione, tutti i produttori di telefonini Android tra cui ad esempio Google, Htc, Huawei, Lg, Motorola, Samsung, Sony e altri marchi. Al momento questi produttori non hanno rilasciato informazioni su quando saranno resi disponibili gli aggiornamenti per i loro utenti. Al momento gli utenti Android possono solo attendere ed installare l’aggiornamento non appena sarà disponibile.
COME PROTEGGERSI
Nell’attesa che sia disponibile un aggiornamento per il proprio dispositivo è consigliabile impedire che i messaggi mms siano caricati automaticamente in Google Hangouts o altre applicazioni di testo. Ciò impedirà che il codice dannoso venga caricato automaticamente, ma non protegge contro altri sistemi di trasmissione dell’attacco (ad esempio sito malevoli).
