Man-in-the-Disk: un nuovo, pericoloso sistema per hackerare i dispositivi Android

27 Ago 2018

Android è un buon sistema operativo e i suoi sviluppatori hanno davvero a cuore la sicurezza; tuttavia, con tante versioni del sistema operativo e applicazioni a disposizione, tenere tutto perfettamente sotto controllo non è affatto facile. Per questo spesso emergono nuovi modi per aggirare i meccanismi di sicurezza integrati; l’ultimo in ordine di tempo si chiama “Man-in-the-Disk” e lo descriveremo per voi in questo articolo.

Sandbox, i pilastri della sicurezza di Android

Il principio base di Android è che tutte le applicazioni devono essere isolate l’una dall’altra e ciò è possibile grazie alle cosiddette sandbox. Ogni applicazione (con i suoi file privati) vive in una sandbox alla quale le altre applicazioni non possono accedere.

In questo modo un’applicazione dannosa, anche quando riesce a infiltrarsi nel vostro dispositivo Android, non può rubare i dati presenti in altre applicazioni legittime (ad esempio, username e password dalla app di home banking, oppure la cronologia messaggi presenti sul telefono e così via). Sappiamo che gli hacker lavorano sodo per aggirare questo meccanismo di difesa e per riuscire a “evadere dalla sandbox“, riuscendoci di tanto in tanto.

Slava Makkaveev, durante il suo intervento alla ventiseiesima edizione della DEF CON, ha spiegato come un’applicazione con autorizzazioni di accesso neanche troppo pericolose sia in grado di sfuggire alla sandbox mediante una tecnica da egli stesso battezzata “Man-in-the-Disk“, una versione rivisitata del classico attacco Man-in-the-Middle.

Come funziona l’attacco Man-in-the-Disk 

Oltre alle sandbox che ospitano i file delle applicazioni, Android dispone di un’area di immagazzinamento esterna condivisa, chiamata appunto “memoria esterna”. Un’applicazione può chiedere l’autorizzazione a entrare nella memoria esterna per “accedere a foto, media e file sul dispositivo” (in realtà si stanno concedendo due autorizzazioni, READ_EXTERNAL_STORAGE e WRITE_EXTERNAL_STORAGE). Questi permessi solitamente non sono considerati pericolosi, quasi tutte le applicazioni li richiedono, per cui non si tratta di una richiesta sospetta agli occhi dell’utente.

Le applicazioni utilizzano la memoria esterna per vari scopi, come scambiare o trasferire file dallo smatphone al computer. La memoria esterna spesso viene usata anche per immagazzinare temporaneamente i dati scaricati da Internet. In un primo momento i dati vengono scritti nella parte condivisa del disco e successivamente vengono trasferiti in un’area isolata alla quale solo quell’applicazione in particolare vi potrà accedere.

Ad esempio, un’applicazione può utilizzare temporaneamente la memoria esterna per immagazzinare moduli supplementari che installa per aggiungere funzionalità o contenuti (come i dizionari) o gli aggiornamenti. Il problema è che qualsiasi applicazione che abbia autorizzazione a leggere o scrivere file sulla memoria esterna potrà accedere anche a questi altri file e modificarli, aggiungendo elementi dannosi.

Nella vita reale, potreste installare un’applicazione apparentemente innocua (un gioco, ad esempio) che invece potrebbe infettare gravemente lo smartphone.

I creatori di Android si sono resi conto che l’uso della memoria esterna potrebbe essere dannoso e sul sito degli sviluppatori Android ci sono alcuni consigli utili per i programmatori di app.

Il problema è che non tutti gli sviluppatori di app seguono queste raccomandazioni, neanche i dipendenti di Google o alcune case produttrici di smartphone. Gli esempi presentati da Slava Makkaveev riguardano lo sfruttamento di vulnerabilità presenti in Google Translate, Yandex Translate, digitazione vocale e Google Text-to-Speech, così come applicazioni di sistema di LG e del browser di Xiaomi.

In ogni caso, i ricercatori di Google di recente hanno scoperto che l’attacco Man-in-The-Disk può creare seri danni anche alla versione Android del popolare gioco Fortnite. Per scaricare il gioco, gli utenti devono installare prima un’app grazie alla quale si dovrebbero scaricare i file del gioco. Grazie all’attacco Man-in-the-Disk, un cybercriminale può raggirare l’app di assistenza al download installando un’app dannosa. Gli sviluppatori di Fortnite (Epic Games) sono al corrente di questa vulnerabilità e hanno già pubblicato una versione più recente dell’installer. Se volete entrare nel mondo Fortnite, per essere al sicuro dovreste usare la versione 2.1.0; se invece avete già installato Fortnite, disinstallate l’app e reinstallatela usando la versione consigliata.

Come proteggere il vostro dispositivo Android da un attacco Man-in-the-Disk 

Makkaveev ha scelto alcune app piuttosto diffuse per dimostrare quanto sia grave la situazione ma le app vulnerabili sono varie. 

Come proteggersi? Ecco qualche consiglio semplice da seguire:

  • Installate applicazioni solo da store ufficiali come Google Play. I malware possono comunque insidiarsi ma si tratta di un’eventualità meno frequente (e vengono comunque rimossi periodicamente);
  • Disattivate l’installazione di applicazioni di terze parti dalle impostazioni dello smartphone o del tablet (sono le fonti più pericolose). Basta andare su Impostazioni > Sicurezza e togliere la spunta alla casella Fonti sconosciute.
  • Scegliete applicazioni provenienti solo da sviluppatori verificati. Verificate le opinioni sull’applicazione e il punteggio, evitando di installare applicazioni sospette;
  • Installate solo applicazioni assolutamente necessarie. Meno app ci sono sul dispositivo, meglio è;
  • Disinstallate le app che non usate frequentemente;
  • Avvaletevi di un'applicazione antivirus affidabile per dispositivi mobili, in grado di avvisarvi tempestivamente se un’app dannosa prova a entrare nel vostro dispositivo.