{"id":13155,"date":"2017-06-02T08:07:04","date_gmt":"2017-06-02T08:07:04","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=13155"},"modified":"2017-11-13T16:40:40","modified_gmt":"2017-11-13T14:40:40","slug":"cloak-and-dagger-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/cloak-and-dagger-attack\/13155\/","title":{"rendered":"Cloak & Dagger: una falla nel sistema Android"},"content":{"rendered":"

Gente, questa non \u00e8 un\u2019esercitazione. Tutto questo vale per tutte le versioni Android e al momento della pubblicazione di questo post, Google non ha ancora risolto le vulnerabilit\u00e0. Utilizzando questa vulnerabilit\u00e0, i criminali possono rubare dati (incluse le password), installare le applicazioni con un set completo di autorizzazioni<\/a>, controllare cosa fa un utente e cosa sta digitando sulla tastiera di qualsiasi smartphone o tablet Android. Lo ripetiamo: questa non \u00e8 un\u2019esercitazione\u2026<\/p>\n

\"Cloak<\/a><\/p>\n

L\u2019attacco, soprannominato \u201cCloak & Dagger\u201d, \u00e8 stato dimostrato dai ricercatori del Georgia Institute of Technology e dell\u2019University of California, Santa Barbara. Questi, hanno provato tre volte a richiamare l\u2019attenzione di Google sul problema, ma ogni volta Google rispondeva dicendo che tutto funzionava normalmente. I ricercatori non hanno avuto quindi altra scelta se non quella di pubblicare le loro scoperte: a tal fine, hanno anche creato un sito web, cloak-and-dagger.org.<\/p>\n

L\u2019essenza dell\u2019attacco Cloak & Dagger<\/strong><\/h2>\n

In poche parole, l\u2019attacco si riduce all\u2019utilizzo di un\u2019app da Google Play. Sebbene l\u2019app non richieda all\u2019utente autorizzazioni particolari, i criminali ottengono i diritti per mostrare l\u2019interfaccia dell\u2019app su altre app, non consentendo la loro corretta visualizzazione, e per cliccare pulsanti per conto dell\u2019utente, in modo tale che questo non noti nulla di sospetto.<\/p>\n

L\u2019attacco \u00e8 possibile perch\u00e9 all\u2019utente non viene chiesto esplicitamente di consentire alle app di avere accesso alle funzioni SYSTEM_ALERT_WINDOW quando si installano app da Google Play e l\u2019autorizzazione ad accedere alla funzione ACCESSIBILITY_SERVICE (A11Y) \u00e8 abbastanza semplice da ottenere.<\/p>\n

Di che tipi di autorizzazioni si tratta?\u00a0 La prima autorizzazione permette a un\u2019app di sovrapporre la propria interfaccia su altre app, mentre la seconda fa accedere a una serie di funzioni (Servizio di Accessibilit\u00e0) per persone con una disabilit\u00e0 visiva o auditiva. La seconda autorizzazione \u00e8 in grado di fare tante cose diverse al dispositivo, anche pericolose, consentendo a un\u2019applicazione sia di controllare cosa succede in altre app sia di interagire con esse per conto dell\u2019utente.<\/p>\n

Cosa potrebbe andar storto?<\/p>\n

Un livello invisibile<\/strong><\/h3>\n

In poche parole, gli attacchi che usano la prima autorizzazione, SYSTEM_ALERT_WINDOW, sovrappongono la propria interfaccia a quella di altre app senza richiederlo all\u2019utente. Inoltre, le finestre che pu\u00f2 mostrare possono essere di qualsiasi forma (anche con parti mancanti); sono anche in grado di registrare premendo sul display o possono non essere utilizzate in maniera tale che l\u2019app sottostante possa registrare.<\/p>\n

Ad esempio, i criminali possono creare un livello trasparente che si sovrappone alla tastiera virtuale di un dispositivo Android e che memorizza tutto quello che si digita sullo schermo. Confrontando le coordinate del luogo da cui l\u2019utente ha digitato sullo schermo e la posizione dei caratteri della tastiera, il criminale \u00e8 in grado di scoprire cosa stava digitando esattamente l\u2019utente sulla tastiera. I programmi pericolosi di questo tipo vengono chiamati keylogger<\/a>. Questo \u00e8 uno degli esempi che sono stati presentati dai ricercatori per dimostrare l\u2019attacco.<\/p>\n