I sistemi operativi sono oggetti complessi con i quali avere a che fare. Milioni di linee di codice nascondono migliaia di insidie per sicurezza. La serie di vulnerabilità scovate da tre ricercatori dell'università dell'Indiana, con il supporto di un ricercatore Microsoft, ne è una chiara dimostrazione in quanto veramente subdola.
Gli scopritori hanno chiamato queste vulnerabilità "Pileup", che è una sigla per "privileges escalation through updating", cioè elevazioni dei privilegi attraverso gli aggiornamenti, che avvengono nel PMS (Privilege Management System) di Android e che amplificano i permessi offerti a possibili app maligne ogni qualvolta avviene un update del sistema operativo, il tutto senza che gli utenti si accorgano di nulla.
La parte più incredibile è proprio questa: la falla non permette al software maligno di guadagnare istantaneamente dei privilegi superiori, ma questi vengono guadagnati automaticamente quando si aggiorna il sistema operativo con il malware già installato. Le falle di questo tipo scoperte sono sei e sono presenti in tutte le versioni di Android del progetto open source e nelle oltre 3.500 versioni custom sviluppate dai vari produttori di telefonia o di tablet!
Sembra complicato? Beh, in realtà è una schematizzazione estremamente semplicistica di come funziona la nuova app che cerca queste vulnerabilità...
Secondo i ricercatori "ogni volta che un aggiornamento viene rilasciato, questo causa la sostituzione e l'aggiunta di decine di migliaia di file in un live system. Ognuna di queste nuove app che viene installata, deve essere configurata in maniera appropriata con i relativi attributi nelle sandbox a loro deputate, con i giusti privilegi nel sistema, senza danneggiare accidentalmente le altre app installate o i dati dell'utente. Un vero e proprio ginepraio che rende l'aggiornamento del sistema un terreno fertile per le falle di sicurezza critiche".
I ricercatori hanno scoperto che lo sfruttamento di queste falle rende possibile a un hacker anche il controllo delle impostazioni, oltre che delle firme e dei permessi. In questo modo un attaccante potrebbe utilizzare app create ad hoc per rubare le impostazioni, i dati, data log, credenziali di accesso, messaggi, contatti e così via.
"Una caratteristica distintiva di un simile attacco è che non mira a sfruttare una vulnerabilità nella versione corrente del sistema Android, ma si occupa di sfruttare quelle che si vengono a creare durante l'aggiornamento ad una versione più recente " - e continuano - "in particolare, attraverso una app che gira su una versione precedente di Android, l'hacker può predisporre un set di privilegi o attributi selezionati, che saranno però disponibili su una versione più recente del sistema operativo".
Per farla breve, un hacker potrebbe rilasciare un aggiornamento per una sua app malevola; in caso non esista il permesso che gli serve per ottenere ciò che vuole nella versione di Android attuale, l'app potrà però sfruttare nuovi privilegi, una volta che verrà rilasciato l'aggiornamento a una versione successiva dell'OS di Google.
Addirittura "un pacchetto o proprietà di terze parti, scritto in modo tale da portare il nome di un processo di sistema, potrebbe essere elevato a processo di sistema durante l'aggiornamento dell'OS, quando tutte le configurazioni di sistema vengono resettate; non solo, ma se due app, una per la versione precedente di Android e l'altra per quella più recente, vengono fuse assieme durante l'aggiornamento, potrebbero verificarsi gravi rischi di sicurezza se si viene a scoprire che la versione per l'OS precedente era malevola".
Cioè che accade durante un aggiornamento Android è che il PMS va prima ad installare tutte le app di sistema nuove ed esistenti dalla vecchia versione e poi procede a fare lo stesso con le app terze parti. In caso una app malevola fosse inserita nel pacchetto PMS, durante questo processo il dispositivo andrebbe a riconoscerla come se niente fosse e fornirebbe tutti i permessi ad ogni sua richiesta, prendendola come una applicazione che nella versione precedente di Android avesse già ricevuto i permessi da parte dell'utente.
I ricercatori hanno quindi sviluppato una nuova app di scansione chiamata "SecUP", che va a ricercare app malevole già installate sul dispositivo che sono scritte per sfruttare queste vulnerabilità Pileup. Il tool ispeziona le Android application packages (o APK), cercando di identificare quelle scritte per ottenere le elevazioni di privilegi durante un aggiornamento.
"Il detector verifica la sorgente del codice PMS di differenti versioni di Android, cercando ogni violazione di uno specifico set di verifiche di sicurezza (come attributi, proprietà, nomi, permessi ecc) che noi ci aspettiamo non vengano cambiate durante un aggiornamento di sistema; qualora una qualsiasi di queste variabili non viene rispettata, riscontriamo una falla di tipo Pileup".
Tutte le sei vulnerabilità sono state prontamente riportate a Google, una di esse è già stata sistemata e speriamo lo siano al più presto anche tutte le restanti.