hacker vulnerabilita Android

Nuove vulnerabilità per Facebook Messenger e GO SMS Pro per Android

Posted on by ggallotti

Due dei programmi più utilizzati dagli utenti Android hanno evidenziato importanti vulnerabilità che mettono a rischio di intercettazione i dati inviati (foto, messaggi e informazioni personali) e le chiamate video e audio degli utenti.

I problemi di GO SMS Pro

Sebbene poco utilizzato dalle nuove generazioni, GO SMS Pro fino a qualche anno fa è stato uno dei protagonisti nella gestione degli SMS (i messaggi testuali) su Android. Si pensi che attualmente ha raggiunto quasi i 100 milioni di utilizzatori.
Ma se da una parte ha subito colto l’interesse degli utenti Android, con il fiorire di app secondarie che propongono temi e traduzioni linguistiche, dall’altra è stata decisamente trascurata la sicurezza dell’applicazione da parte degli sviluppatori. Secondo i ricercatori di Trustwave SpiderLabs (https://www.trustwave.com), messaggi vocali privati, messaggi video e foto inviati sono tutti a rischio di essere compromessi da un difetto banale di progettazione della versione 7.91.

Uno dei motivi del successo di questa app è che, quando un utente invia un messaggio multimediale, il destinatario può riceverlo anche se non ha installato GO SMS Pro. In tal caso, il destinatario riceve via SMS un’URL (Uniform Resource Locator: indirizzo Internet di una una risorsa) tramite la quale visualizzare il file multimediale in una finestra di un qualsiasi browser.

E qui iniziano i problemi. L’URL non è protetta, ovvero è possibile accedere al file senza alcuna autenticazione o autorizzazione. Chiunque entri in possesso del collegamento è quindi in grado di visualizzare il contenuto e questa vulnerabilità potrebbe essere sfruttata, per esempio, da un malware presente nel browser o che analizza gli SMS.
Ma c’è dell’altro. I ricercatori hanno scoperto che le URL generate dall’app sono sequenziali e quindi prevedibili.
Chiunque un po’ esperto potrebbe creare un semplice script per generare un elenco di URL, utilizzando le sequenze prevedibili negli indirizzi, e prendere di mira utenti specifici. Di contro è che un malintenzionato non sarebbe in grado di risalire al mittente, a meno che il contenuto dei file multimediali non trapeli la sua identità.

Lo sviluppatore non ha mai riconosciuto la presenza di questo bug nella sua app, né ha risposto ai numerosi tentativi di contatto da parte di Trustwave SpiderLabs (addirittura sembra che la sua casella di posta sia piena). Recentemente è stata rilasciata una nuova release, la 7.93, ma non si sa se la vulnerabilità sia stata corretta.
I ricercatori si sono comunque ripromessi di controllare anche quest’ultima versione.

La patch per Facebook Messenger

Ai primi di ottobre di quest’anno in Facebook Messenger è stata scoperta una vulnerabilità, risolta il 19 novembre, che avrebbe consentito ai malintenzionati di ascoltare ciò che accadeva in prossimità del cellulare, semplicemente chiamando l’utente e senza che quest’ultimo rispondesse.

Secondo Natalie Silvanovich, ricercatrice di sicurezza presso Google Project Zero, la vulnerabilità era dovuta alla non corretta implementazione nell’app del protocollo WebRTC, una tecnologia open source che consente ai browser di effettuare la videochat in tempo reale, scambiando una serie di messaggi tra il chiamato e il chiamante.
La ricercatrice si è accorta che Facebook Messenger per Android non gestiva correttamente la ricezione di un particolare messaggio chiamato SdpUpdate.
Il malintenzionato, quindi, non doveva fare altro che chiamare l’utente e simultaneamente inviargli un messaggio SdpUpdate che andava a colpire il Session Description Protocol (SDP) .
In pratica, grazie all’invio di questo messaggio, il malintenzionato era in grado di bypassare tutte le protezioni del protocollo WebRTC, di connettersi al cellulare dell’utente, e quindi mettersi in ascolto ancora prima che questi accettasse la chiamata. L’ascolto poteva durare sino a che l’utente rispondeva oppure quando si interrompeva la chiamata.

Fortunatamente non era così semplice riuscire a sfruttare questa vulnerabilità.
Sia il malintenzionato che l’utente dovevano aver effettuato l’accesso a Messenger per Android. L’utente doveva anche essere connesso a Facebook Messenger via web. Inoltre il malintenzionato avrebbe dovuto disporre delle autorizzazioni, ovvero essere nell’elenco degli amici di Facebook dell’utente, per poter chiamare la persona.
Tuttavia, se si fossero verificate tutte le condizioni (qui una descrizione dei passaggi necessari: https://bugs.chromium.org/p/project-zero/issues/detail?id=2098), sfruttare il bug avrebbe richiesto solo pochi minuti.

Per aver scoperto questo particolare bug, la Silvanovich è stata premiata da Facebook con una somma pari a 60.000 dollari, somma poi donata a una organizzazione senza scopi di lucro che fa beneficenza.

La ricercatrice ha affermato che, dopo aver scoperto questo exploit, ha iniziato ad esaminare altre applicazioni di messaggistica ed ha riscontrato dei bug anche in Signal, Mocha e JioChat, tutte subito fixate dagli sviluppatori.