Siamo ormai giunti in un momento storico in cui il numero di smartphone e tablet sta superando quello dei computer desktop e quindi la sicurezza dei dispositivi mobile sta diventando sempre più un fattore critico.
Purtroppo molti utenti scaricano applicazioni dai vari store, senza pensare che possano contenere malware o essere progettate per appropriarsi dei loro dati sensibili.
Due ricercatori americani dello SpiderLab di Trustwave, hanno eseguito uno studio per verificare l'efficienza del Bouncer che Google aveva introdotto per impedire che sul suo store venissero pubblicate applicazioni contenenti malware.
Il Bouncer di Google è un tool di software che scansione ogni applicazione caricata sul Market per verificare la presenza di codice malevolo.
I risultati della ricerca non sono incoraggianti, sia per Google sia per gli utenti del Play Store.
Come è stata eseguita la ricerca
Nicolas J. Percoco e Sean Schulte (i due ricercatori) hanno spiegato come è stata portata avanti la ricerca durante la conferenza Black Hat di Las Vegas.
Prima di tutto è stata realizzata un'App innoqua, SMS Bloxor, che è stata caricata sul Google Play.
Il Google Bouncer ha provveduto a scansionare il codice dell'applicazione ed a testarla simulando uno smartphone Android, a quel punto SMS Bloxor ha inviato una telefonata ai due ricercatori come segnale era stato eseguito il test.
Il codice malevolo
Successivamente sono state presentate sette nuove versioni dell'applicazione, ognuna delle quali aggiungeva nuove funzioni malevole rendendo SMS Bloxor sempre più cattiva.
Alla fine SMS Bloxor era in grado di rubare SMS, copiare dati identificativi sul terminale che lo installava, rubare foto, registro delle chiamate, dirottare lo schermo, ed in fine generare una attacco DDoS verso un indirizzo internet.
We kind of expected that one of these steps, like spoof screen or DDoS, would get us caught. And it didn't!
Ci aspettavamo che uno di questi aggiornamenti, ad esempio dirottare lo schermo o DDoS, ci avrebbe fatto scoprire. Non lo ha fatto, queste le parole di Schulte.
Il Bouncer di Google ha sempre scansionato gli aggiornamenti ma non li ha mai bloccati, anche se contenevano del codice malevolo.
Come è stato ingannato il Bouncer
I due ricercatori hanno usato uno stratagemma semplice per ingannare il Bouncer, infatti solo dopo che un'aggiornamento di SMS Bloxor veniva accettato ed inserito nello store Percoco e Schulte inviavano le istruzioni necessarie a rendere attiva la parte malevola del codice.
L'applicazione è stata rimossa dal Google Play Store, solo quando i due ricercatori hanno inserito una funzione che inviava, ad un server remoto, in tempo reale e senza interruzioni le informazioni rubate dall'App.
Conclusioni
Prima di rendere pubblica la loro ricerca, Percoco e Shulte hanno informato Google del loro esperimento ed incontrato i rappresentanti di Big G per discutere l'accaduto.
Secondo Nicolas Percoco alcune delle funzioni del Boucer andrebbero implementate direttamente in Android per far si che dopo l'istallazione di una nuova App il sistema operativo possa verificare il reale funzionamento dell'applicazione.
In oltre andrebbe riconsiderato l'iter di verifica delle App prima della loro presentazione in Google Play, cosa che Google ha già iniziato cambiando alcune policy nel Play Store.
Fonte:
Technology Review - Google Approves an App that Steals All Your Data