Bug Master Key Android, rilevati i primi exploit

Symantec ha individuato le prime app legittime che sono state modificate per iniettare codice infetto e prendere il controllo completo del dispositivo.
Bug Master Key Android, rilevati i primi exploit
Symantec ha individuato le prime app legittime che sono state modificate per iniettare codice infetto e prendere il controllo completo del dispositivo.
Luca Colantuoni
Pubblicato il 25 lug 2013

Symantec ha scoperto le prime applicazioni che sfruttano la vulnerabilità individuata nel sistema di verifica delle firme digitali su Android. Le app sono state distribuite attraverso uno store non ufficiale cinese e consentono ai malintenzionati di eseguire diverse operazioni in remoto, fino ad acquisire il controllo completo del dispositivo. Gli utenti che utilizzano esclusivamente il Google Play Store non corrono però nessun rischio, in quanto il negozio ufficiale integra uno scanner che rileva i malware e impedisce il download delle applicazioni infette.

Pochi giorni dopo la scoperta del bug, Google ha rilasciato una patch per il suo sistema operativo, ma la distribuzione dell’update da parte dei produttori procede a rilento. Ciò aumenta la probabilità di infezioni, nel caso in cui l’utente scarichi applicazioni da fonti esterne. La vulnerabilità, infatti, permette di iniettare codice infetto in app legittime, senza invalidare la firma digitale. Tramite il sistema Norton Mobile Insight, Symantec ha individuato due app usate per chiedere un appuntamento medico, contenenti il trojan Android.Skullkey.

Il cybercriminale ha modificato le app aggiungendo un codice che permette di prendere il controllo del dispositivo, rubare dati sensibili, come IMEI e numero di telefono, inviare SMS a pagamento e disabilitare i software di sicurezza, mediante comandi root. Il funzionamento dell’exploit è semplice: dato che Android installa l’ultima versione dell’app, basta nascondere due file con lo stesso nome all’interno dell’APK. Il controllo della validità della firma viene invece effettuato solo per la prima istanza di ogni file con nome duplicato.

Considerato l’elevato numero di smartphone Android in circolazione, prima o poi simili exploit arriveranno anche in Italia, quindi è meglio evitare store di terze parti e affidarsi esclusivamente al Google Play Store. Per verificare se il proprio dispositivo è a rischio, si può installare il tool Bluebox Security Scanner. Con Android 4.3 Jelly Bean, rilasciato ieri, la vulnerabilità Master Key è stata risolta.

Ti consigliamo anche

Samsung: One UI 7 sarà disponibile anche in beta pubblica
Software e App

Samsung: One UI 7 sarà disponibile anche in beta pubblica
YouTube rende più complicato trovare il pulsante per saltare gli annunci
Software e App

YouTube rende più complicato trovare il pulsante per saltare gli annunci
WhatsApp aggiunge nuovi sfondi e filtri per le videochiamate
Software e App

WhatsApp aggiunge nuovi sfondi e filtri per le videochiamate
Novità WhatsApp: arrivano i Mi piace allo stato e le menzioni private
Software e App

Novità WhatsApp: arrivano i Mi piace allo stato e le menzioni private
Link copiato negli appunti