IT
Linea diretta di assistenza
Gli sviluppatori potrebbero intrufolarsi in fastidiosi annunci pop-up o attacchi di phishing nelle app mobili tramite difetti di progettazione in Android, secondo i ricercatori.
I ricercatori hanno scoperto quello che dicono essere un difetto di progettazione in Android che potrebbe essere utilizzato dai criminali per rubare dati tramite phishing o dagli inserzionisti per portare fastidiosi annunci pop-up sui telefoni.
Gli sviluppatori possono creare app che sembrano innocue ma che possono visualizzare una falsa pagina di accesso all’app bancaria, ad esempio, quando l’utente utilizza l’app bancaria legittima, Nicholas Percoco, vicepresidente senior e capo di SpiderLabs presso Trustwave, ha detto prima della sua presentazione sulla ricerca alla conferenza hacker DefCon oggi.
Attualmente, le app che desiderano comunicare con l’utente mentre viene visualizzata un’app diversa devono semplicemente inviare un avviso alla barra di notifica nella parte superiore dello schermo. Ma c’è un’interfaccia di programmazione dell’applicazione nel Software Development Kit di Android che può essere utilizzata per spingere una particolare app in primo piano, ha detto.
“Android consente di ignorare lo standard per (premere) i pulsanti indietro”, ha dichiarato Sean Schulte, sviluppatore SSL (Secure Sockets Layer) di Trustwave.
“Per questo motivo, l’app è in grado di rubare la messa a fuoco e non è possibile premere il pulsante Indietro per uscire”, ha detto Percoco, aggiungendo che hanno chiamato il problema la vulnerabilità del furto di focus.
I ricercatori hanno creato uno strumento proof-of-concept che è un gioco, ma innesca anche falsi display per Facebook, Amazon, Google Voice e il client di posta elettronica di Google. Lo strumento si installa come parte di un payload all’interno di un’app legittima e si registra come servizio in modo che torni dopo il riavvio del telefono, ha detto Percoco.
In una demo che mostra un utente che apre l’app e vede la schermata di accesso per Facebook, l’unica indicazione che è successo qualcosa di strano è un blip sullo schermo così veloce che molti utenti non se ne accorgono. Lo schermo falso sostituisce completamente quello legittimo, quindi un utente non sarebbe in grado di dire che qualcosa è fuori posto.
Con questo difetto di progettazione, gli sviluppatori di giochi o app possono creare annunci pop-up mirati, ha detto Percoco. Gli annunci potrebbero essere semplicemente fastidiosi, come la maggior parte dei pop-up, ma potrebbero anche essere mirati a far apparire un annuncio quando viene utilizzata l’app di un concorrente, ha aggiunto.
“Quindi l’intero mondo degli annunci che combattono tra loro sullo schermo è possibile ora”, ha detto Percoco, che insieme a Christian Papathanasiou, ha dimostrato un rootkit Android al DefCon l’anno scorso.
La funzionalità non solleverebbe alcuna bandiera rossa nelle autorizzazioni visualizzate quando l’utente scarica l’app perché è una funzione legittima per le app controllare lo stato del telefono in quello che viene chiamato il servizio di attività, secondo Schulte.
Percoco ha detto che i ricercatori hanno parlato con qualcuno di Google delle loro scoperte alcune settimane fa e che l’individuo ha riconosciuto che c’era un problema e ha detto che la società stava cercando di capire come affrontarlo senza interrompere alcuna funzionalità delle app legittime che potrebbero utilizzarlo.
Quando è stato contattato per un commento, un rappresentante di Google ha detto che avrebbe esaminato la questione.
Aggiornamento 8 agosto 2011 alle 15:50 PT Un portavoce di Google ha fornito questa dichiarazione: “Il passaggio da un’applicazione all’altra è una funzionalità desiderata utilizzata da molte applicazioni per incoraggiare una ricca interazione tra le applicazioni. Non abbiamo visto nessuna app maliziosa utilizzare questa tecnica su Android Market e rimuoveremo tutte le app che lo fanno. ”
Il portavoce di Google ha anche indirizzato CNET a AppLock di Vidion come esempio di come viene utilizzata tale funzionalità. L’app utilizza la tecnologia di riconoscimento facciale per impedire l’accesso non autorizzato a parti del telefono, come l’app Gmail. L’uso legittimo della funzionalità descritta nella vulnerabilità in questo esempio farebbe scorrere l’interfaccia di richiesta della password di AppLock su quella di Gmail quando la tocchi. Poiché AppLock utilizza il tuo viso come password, scorrerebbe, consentirebbe al tuo viso di essere riconosciuto come password approvata e quindi scivolerebbe via.
Aggiornamento 8 agosto 2011 alle 19:40 PT La risposta di Percoco alla dichiarazione di Google: “Il cambio di applicazione non è il problema. Il vero problema è la capacità per le altre app di identificare quale app è in primo piano e quindi decidere di saltare davanti a quell’app in esecuzione senza che l’utente gli dia il permesso di farlo. Inoltre, non vediamo come potrebbero determinare la differenza tra un’app dannosa o una legittima poiché entrambe sembrerebbero quasi identiche fino a quando un utente non lo segnala come dannoso. La posizione “aspetta fino a quando un’app non viene segnalata male prima di rimuoverla” è pericolosa e probabilmente si rivelerà uno sforzo infruttuoso in quanto gli aggressori potrebbero pubblicare app molto più velocemente di quanto Google possa identificarle e rimuoverle dal mercato.
Seth Rosenblatt di CNET ha contribuito a questo rapporto.
Fonte: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
