Sommario:
- 1. È una cosa di Qualcomm
- 2. È serio, ma non ci sono prove del suo utilizzo in natura
- 3. È probabile che tu non sia effettivamente "vulnerabile"
- 4. La sicurezza di Android è difficile, anche con patch mensili
- 5. Siamo stati qui prima
Ancora una volta, è la stagione della paura della sicurezza di Android. Questa mattina sono uscite le notizie sull'ultima raccolta di vulnerabilità, scoperte dalla società di sicurezza Check Point e raggruppate sotto l'accattivante monicker "QuadRooter". Come al solito, la maggior parte delle segnalazioni si è concentrata sugli scenari peggiori e su un numero incredibilmente enorme di dispositivi potenzialmente vulnerabili, in questo caso circa 900 milioni.
Analizzeremo esattamente cosa sta succedendo e quanto probabilmente sarai vulnerabile. Continuare a leggere.
1. È una cosa di Qualcomm
Check Point ha preso di mira specificamente Qualcomm grazie alla sua posizione dominante nell'ecosistema Android. Poiché così tanti telefoni Android utilizzano l'hardware Qualcomm, i driver Qualcomm che contribuiscono al software su questi telefoni rappresentano un obiettivo interessante: un singolo insieme di vulnerabilità che interessa gran parte della base di utenti Android. (In particolare, i bug riguardano il codice di allocazione della rete, della grafica e della memoria.)
I driver di Qualcomm sono un obiettivo grande e attraente.
Tutti e quattro gli exploit che compongono QuadRooter influiscono sui driver Qualcomm, quindi se hai un telefono che non utilizza alcun hardware Qualcomm, ad esempio un Galaxy S6 o Note 5 (che utilizza il processore Exynos Samsung e il modem Shannon), " non sono interessati da questo.
2. È serio, ma non ci sono prove del suo utilizzo in natura
Come suggerisce il nome, QuadRoot è una raccolta di quattro exploit nel codice Qualcomm che potrebbe consentire a un'app dannosa di ottenere i privilegi di root, ovvero l'accesso per fare praticamente qualsiasi cosa sul tuo telefono. Da lì, puoi immaginare qualsiasi numero di scenari da incubo: gli aggressori ascoltano durante le telefonate, spiano la videocamera, rubano dettagli finanziari o bloccano i tuoi dati con il ransomware.
Nessuno parla ancora di questi exploit utilizzati in natura, il che è positivo. (Check Point stima che i malviventi lo avranno impacchettato in malware funzionante entro tre o quattro mesi.) Tuttavia, date le sfide legate all'aggiornamento del software sui miliardi di dispositivi Android là fuori, i creatori di malware avranno un sacco di tempo per capire un'applicazione pratica.
Ma…
3. È probabile che tu non sia effettivamente "vulnerabile"
QuadRooter è uno dei molti problemi di sicurezza di Android che richiede l'installazione manuale di un'app. Ciò significa accedere manualmente alle impostazioni di sicurezza e attivare la casella di controllo "Origini sconosciute".
Qualsiasi vuln che richiede l'installazione manuale di un'app si imbatte in due importanti blocchi stradali: il Play Store e la funzione "Verifica app" integrata di Android.
Dato che Check Point ha rivelato per la prima volta le vulnerabilità ad aprile, Google ha quasi sicuramente scansionato le app del Play Store per questi exploit da un po 'di tempo. Ciò significa che starai bene se, come la maggior parte delle persone, scarichi solo app dal Play Store.
E anche se non lo fai, la funzione "Verifica app" di Android è progettata per fungere da ulteriore livello di protezione, scansionando le app da fonti di terze parti alla ricerca di malware noti prima dell'installazione. Questa funzione è abilitata per impostazione predefinita in tutte le versioni di Android dal 4.2 Jelly Bean del 2012 e, poiché fa parte di Google Play Services, si aggiorna sempre. A partire dalle statistiche più recenti disponibili, oltre il 90 percento dei dispositivi Android attivi esegue la versione 4.2 o successive.
Non abbiamo esplicita conferma da parte di Google che "Verifica App" stia eseguendo la scansione di QuadRooter, ma dato che Google è stato informato mesi fa, è probabile che lo sia. E se lo è, Android identificherà qualsiasi app che protegge QuadRooter come dannosa e mostrerà una grande schermata di avviso spaventoso prima di farti arrivare vicino all'installazione.
Aggiornamento: Google ha confermato che Verifica App può rilevare e bloccare QuadRooter.
In tal caso, sei ancora "vulnerabile?" Bene tecnicamente. È possibile andare alle impostazioni di sicurezza, abilitare Origini sconosciute, quindi ignorare l'avviso a schermo intero che stai per installare malware e disabilitare un'altra impostazione di sicurezza altrove. Ma a quel punto, in gran parte, dipende da te.
4. La sicurezza di Android è difficile, anche con patch mensili
Un aspetto interessante della saga di QuadRooter è quello che ci mostra sulle sfide di sicurezza di Android che rimangono, anche in un mondo di patch di sicurezza mensili. Tre delle quattro vulnerabilità sono state risolte nelle ultime patch di agosto 2016, ma una è apparentemente scivolata attraverso le fessure e non sarà risolta fino alla patch di settembre. Questo è motivo di legittima preoccupazione dato che la divulgazione è avvenuta ad aprile.
Tuttavia, un rappresentante di Qualcomm ha dichiarato a ZDNet che il chipmaker ha rilasciato patch proprie ai produttori tra aprile e luglio, quindi è possibile che alcuni modelli siano stati aggiornati al di fuori del meccanismo di patch di Google. Ciò sottolinea solo la confusione derivante dall'avere un livello di patch esplicito da parte di Google, mentre i produttori di dispositivi e i produttori di componenti forniscono anche correzioni di sicurezza.
La maggior parte dei produttori di telefoni Android fa schifo nell'emettere patch di sicurezza. E anche i dispositivi aggiornati non saranno completamente patchati per un altro mese.
Per ora, l'unico modo per sapere se il tuo telefono è teoricamente vulnerabile è scaricare l'app scanner QuadRoot di Check Point dal Play Store.
Anche dopo l'emissione delle patch, devono passare attraverso i produttori e i gestori dei dispositivi prima di essere inviati ai telefoni. E anche se alcune aziende come Samsung, BlackBerry e (naturalmente) Google si sono affrettate a assicurarsi che siano disponibili le ultime patch, la maggior parte delle persone che producono dispositivi Android non sono altrettanto tempestive, specialmente quando si tratta di telefoni più vecchi o meno costosi.
QuadRooter sottolinea come l'ubiquità dei dispositivi Android basati su Qualcomm li rende un obiettivo interessante, mentre la varietà di hardware nel suo insieme rende quasi impossibile aggiornarli tutti.
5. Siamo stati qui prima
- Nome commerciale accattivante? Dai un'occhiata.
- Grande numero spaventoso di dispositivi "vulnerabili"? Dai un'occhiata.
- App di rilevamento gratuita lanciata dalla società di sicurezza con un prodotto da vendere? Dai un'occhiata.
- Nessuna prova di utilizzo in natura? Dai un'occhiata.
- Premi in generale ignorando il Play Store e verifica le app come un blocco contro exploit basati su app? Dai un'occhiata.
È la stessa danza che facciamo ogni anno intorno all'ora della conferenza sulla sicurezza. Nel 2014 era l'ID falso. Nel 2015 era Stagefright. Sfortunatamente, la comprensione dei problemi di sicurezza di Android nei media in generale è rimasta triste, e ciò significa che figure come i "900 milioni" colpiti rimbalzano intorno alla camera di eco senza contesto.
Se sei intelligente sulle app che installi, non c'è motivo di preoccuparsi. E anche se non lo sei, è probabile che Play Services e Verify App ti lascino alle spalle.
ALTRO: malware Android - dovresti essere preoccupato?
