Rischio Android: difendersi da Certifi-gate

Rischio Android: difendersi da Certifi-gate

Ottobre 20, 2015 0 Di wp_9446713
  • Dispositivi Android di privati e aziende minacciati da Certifi-gate: caratteristiche dell’attacco e strategie per contrastarla.

Check Point ha scoperto da tempo una vulnerabilità, ancora critica, che riguarda Android e denominata Certifi-gate. Per capire come difendersi e minimizzare i rischi, ne abbiamo parlato con Michael Shaulov, Head of Mobility Product Management della società. Come funziona? Analizzando i metodi di verifica con cui le componenti mRST (Mobile Remote Support Tools) accettano le applicazioni da remoto, è stato individuato un bug che rende i plugin mRST vulnerabili, perché l’autenticazione può essere compromessa. Dal white paper Check Point sul meccanismo di attacco ed esfiltrazione di dati, emerge come lo sfruttamento della vulnerabilità è alla portata di molti informatici: sono sufficienti competenze nella media.

=> Applicazioni Android: ultime novità

Certifi-gate

Creando e divulgando via Google Play Store un app dannosa, sfruttando la vulnerabilità Certifi-gate un hacker può nascondersi come supporto remoto originale, con privilegi di sistema nel dispositivo e, connettendosi ai plugin vulnerabili, può superare i limiti di sicurezza accedendo a permessi avanzati. Questo bypass garantisce l’abilitazione di accesso e il controllo completo del dispositivo e dei dati sensibili e/o aziendali dell’utente, permettendo il possibile furto di dati personali, la localizzazione del dispositivo, la visione dello schermo, la simulazione dei click dell’utente e l’ accensione da remoto del microfono per registrare una conversazione.

=>Sicurezza Mobile: news e approfondimenti

Un esempio è la creazione di app flashlight senza permessi, che comunichi con il plugin del dispositivo: quando si stabilisce una comunicazione, si realizza l’accesso completo attraverso l’app flagship. L’utente potrebbe essere indotto a scaricare l’app sia da uno store online, mediante ingegneria sociale tradizionale o tecniche di spear phishing.

Difendersi

In attesa che produttori di dispositivi e fornitori di servizi wireless rilascino  un aggiornamento di sicurezza contro Certifi-gate, si consiglia di verificare spesso la pubblicazione di bollettini o strumenti di patching. Come ricorda Shaulov, il punto è che Android:

«Sconta il problema della frammentazione: esistono tante versioni del software e di dispositivi hardware, che richiederebbero sessioni di test e sviluppo di patch specifiche da parte di OEM e fornitori. Proprio a causa di questo difetto “d’impostazione” alla base del ciclo produttivo del codice software, si consiglia di intervenire sul proprio dispositivo sia in termini di detection, di contromisure, ma anche e soprattutto in termini di comportamenti preventivi, secondo il vecchio detto popolare per cui “prevenire è meglio che curare».

Sulla base delle linee guida rilasciate da Chech Point a suo tempo, diversi fornitori di mRST hanno rilasciato patch per i plugin vulnerabili, ma il problema persiste in quanto mancano quelle per i plugin pre-installati). Inoltre, un hacker potrebbe ancora ingannare l’utente e convincerlo a installare una precedente versione vulnerabile di un plugin, attaccandolo in seguito per i privilegi d’accesso. Tra l’altro, le a di sistema devono essere aggiornate attraverso il ciclo di patch degli OEM, potrebbero quindi passare mesi prima che siano disponibili.

=> Speciale Mobile Apps

Limitare i rischi

in attesa della risoluzione effettiva, Check Point raccomanda di compiere vari passaggi per diminuire il rischio:

  1. Esaminare le applicazioni prima di installarle per assicurarsi che siano autorizzate.
  2. Interpellare il produttore del dispositivo e il fornitore di rete mobile su eventualiaggiornamenti delle impostazioni di sicurezza.
  3. Installare l’ultima versione di Android e la propria ROM appena disponibili.
  4. Disinstallare o disabilitare, quando possibile, i plugin RST attenendosi alle indicazioni del fornitore.
  5. Evitare applicazioni di fornitori terzi sconosciuti o proposte attraverso link non noti.
  6. Utilizzare una soluzione di sicurezza mobile contro malware già presenti sul dispositivo.

Strumenti ad hoc

Per capire se si a rischio, Check Point ha predisposto un’app scanner scaricabile da Google Play. Per contrastare la minaccia propone invece la soluzione MTP (Mobile Threat Prevention), che effettua la detection, blocca Certifi-gate e altre minacce per iOS e Android e offre una threat intelligence in tempo reale integrata nelle infrastrutture mobili e di sicurezza presenti nelle aziende.

Per approfondire: white paper Check Point.

http://www.pmi.it/tecnologia/prodotti-e-servizi-ict/approfondimenti/103939/certifi-gate-sicurezza-rischio-per-utenti-android.html?utm_source=newsletter&utm_medium=email&utm_campaign=Newsletter:+PMI.it&utm_content=14-10-2015+rischio-android-difendersi-da-certifi-gate