Certifi-gate, vulnerabilità da non sottovalutare in Android

Check Point ha suonato il campanello d’allarme. Molte applicazioni Android per il supporto remoto (scaricabili ed installabili manualmente o già preinstallate dal produttore nel device) sarebbero interessate da un grave problema di sicurezza che metterebbe a rischio il contenuto del dispositivo e, quindi, i dati personali degli utenti.

Google si è affrettata a chiarire che la vulnerabilità non è contenuta nel codice AOSP di Android ma interessa app di terze parti che facilitano il controllo remoto del dispositivo mobile.

Alla base del problema di sicurezza vi sono i Mobile Remote Support Tools (mRSTs), strumenti che permettono la gestione in modalità remota del dispositivo Android. Tali strumenti sono utilizzati per riprodurre, su un sistema remoto, quanto visualizzato sul display di uno smartphone o di un tablet e simulare l’interazione con il dispositivo così come se questo fosse fisicamente tenuto in mano.

Dal momento che i mRSTs non necessitano di permessi per accedere ad alcune funzioni, anche particolarmente delicate di Android, sono attualmente presi di mira dagli sviluppatori di malware.

La vulnerabilità presentata dai tecnici di Check Point è stata battezzata Certifi-gate perché potrebbe appunto essere sfruttata per acquisire privilegi utente più elevati sul dispositivo dell’utente. Utilizzando un falso certificato è poi possibile effettuare l’accesso da remoto utilizzando applicazioni di terze parti.

Dal momento che i mRSTs sono spesso integrati nei componenti inseriti nell’installazione di Android dai produttori OEM e dagli operatori di telefonia mobile, la risoluzione delle vulnerabilità di questo tipo è un processo complesso che richiederà tempo.

Check Point ha offerto oggi i risultati della scansione effettuata su circa 30.000 dispositivi Android utilizzando l’app Certifi-gate Scanner, sviluppata e distribuita dalla stessa azienda. Circa il 42% dei dispositivi Android presi in esame sarebbe risultato vulnerabile.
Sino ad oggi già 100.000 utenti hanno installato Certifi-gate Scanner ma solo una piccola parte di loro ha autorizzato la condivisione dei dati statistici con Check Point.

Il suggerimento è quello di installare l’app Certifi-gate Scanner sul proprio dispositivo Android quindi di avviare la scansione del sistema.
Nel caso in cui il dispositivo dovesse risultare vulnerabile, il consiglio è quello di aggiornare le app per il supporto remoto all’ultima versione. Nel caso in cui non fosse possibile adeguare quelle preinstallate dal produttore o dall’operatore telefonico (indisponibilità di aggiornamenti), è possibile valutare il passaggio ad una ROM personalizzata: Installare ROM Android e aggiornare all’ultima versione.