L'app Google Authenticator permette l'acquisizione di screenshot, e non è un bene

Nei giorni scorsi abbiamo parlato di Cerberus, un malware particolarmente evoluto che integra funzionalità evolute di solito presenti solamente nei trojan RAT (Remote Access Trojan) e che è anche in grado di acquisire informazioni utili a superare i meccanismi di autenticazione a due fattori usati dagli utenti per proteggere l’accesso ai loro account.

Per aggredire gli utenti che avessero scelto di usare un’app come Google Authenticator, una volta insediatosi sullo smartphone della vittima, Cerberus avvia l’applicazione, genera un codice “una tantum” e lo utilizza per violare l’account altrui.

I ricercatori di Nightwatch Cybersecurity hanno però aggiunto un nuovo tassello al puzzle. Nelle conclusioni di una ricerca pubblicate in questi giorni, gli esperti spiegano infatti che il problema deriva dall’assenza di una restrizione – FLAG_SECURE – che gli sviluppatori di Google si sarebbero dimenticati di inserire nell’app Authenticator.

Tale mancanza fa sì che un’app sviluppata da terze parti sia in grado di effettuare uno screenshot con tutte le informazioni gestite da un’altra applicazione e, ad esempio, ritrasmetterlo su server gestiti da terzi.

Se avesse voluto, Google avrebbe potuto mettere una pezza al problema già ad ottobre 2014 quando alcuni utenti segnalarono pubblicamente la questione su GitHub. Gli stessi ricercatori di Nightwatch affermano di aver rammentato la cosa a Google già nel 2017. Lo stesso problema è peraltro presente nell’app Microsoft Authenticator per Android.

Va detto che quando un malware come Cerberus arriva sul dispositivo di un utente, ad esempio attraverso l’installazione di un’app, è già troppo tardi. Ne abbiamo parlato nell’articolo Antivirus Android: no, non è affatto inutile.
Alcuni malware per Android provano infatti a forzare lo sfruttamente di vulnerabilità note nei vari dispositivi che danno modo di acquisire, senza alcuna autorizzazione, addirittura i diritti di root. È facile comprendere che un attacco portato a termine con successo offre, proprio in forza dei diritti di root acquisiti, massima libertà d’azione in barba ai permessi impostati a livello di sistema e di singole app.