Vulnerabilità in Android e iOS: di più nel sistema Google ma più gravi nel caso della piattaforma Apple

Zimperium è una delle aziende specializzate nell’individuazione di problematiche relative alla sicurezza informatica e nello sviluppo di soluzioni per la protezione dei dispositivi che nel corso degli anni ha più fatto parlare di sé.

Nel 2015 furono proprio i ricercatori di Zimperium a mettere a nudo una delle falle più pericolose della storia di Android: la libreria Stagefright del sistema operativo Google, deputata alla gestione degli elementi multimediali, soffriva di una grave vulnerabilità che permetteva l’esecuzione di codice arbitrario sui dispositivi degli utenti senza alcun intervento o interazione da parte di questi ultimi.

Di concerto con altri sviluppatori di soluzioni per la sicurezza, Zimperium ha iniziato a collaborare con Google per migliorare Play Protect e rendere più efficace il rilevamento tempestivo di applicazioni potenzialmente dannose che gli sviluppatori cercano di distribuire attraverso il Play Store.

Zimperium ha appena pubblicato il suo rapporto annuale sulle minacce che prendono di mira i dispositivi mobili: il report si riferisce a quanto accaduto nel 2021 ma “la storia” dello scorso anno getta le basi per prevedere cosa ci attende nel 2022.
In generale l’attenzione dei criminali informatici sulle piattaforme mobili è aumentata rispetto agli anni precedenti, soprattutto a causa della forte accelerazione che hanno subìto gli schemi di lavoro a distanza.
Il maggiore interesse che destano i dispositivi mobili si è tradotta nella diffusione di un più ampio volume di malware, in un numero crescente di attacchi phishing e smishing, in maggiori investimenti e sforzi per scoprire e sfruttare vulnerabilità zero-day.

Poiché è di vitale importanza correggere rapidamente i bug zero-day, gli sviluppatori software e i produttori di dispositivi mobili in genere si affrettano a rilasciare gli aggiornamenti di sicurezza.
Tuttavia, secondo le statistiche condivise da Zimperium, soltanto circa il 42% delle persone che lavorano in azienda portandovi i propri dispositivi mobili (BYOD, bring your own device) installa le patch critiche entro due giorni dal loro rilascio.
Circa un terzo dei soggetti impiega fino a una settimana mentre un significativo 20% non risolve le vulnerabilità presenti sui propri dispositivi neppure dopo 2 settimane.

Android contro iOS: qual è il sistema operativo più sicuro

Il mercato dei sistemi operativi mobili è dominato dal duopolio Android-iOS quindi inevitabilmente tutti i confronti sono incentrati su questi due prodotti.

Stando alle conclusioni del report Zimperium per il 2021 Android sembra essere complessivamente più vulnerabile rispetto a iOS ma il sistema operativo Apple tende a soffrire di falle di sicurezza più gravi rispetto al rivale.

L’anno scorso sono state scoperte 574 vulnerabilità in Android con una notevole riduzione rispetto alle 859 del 2020. Il 79% di esse sono caratterizzate da una bassa complessità di attacco: si tratta insomma di falle facili da sfruttare.
Di tutte le lacune di sicurezza venute a galla nel 2021, tuttavia, solamente 18 sono state classificate come critiche.

In iOS i ricercatori hanno individuato 357 nuove vulnerabilità nel corso del 2021 ma solo il 24% di esse sono considerate bug a bassa complessità. Ben 45 sono falle critiche utilizzabili per giungere a una compromissione significativa del dispositivo preso di mira dagli aggressori.

La piattaforma mobile Apple è insomma un obiettivo più impegnativo ma redditizio perché sebbene le falle siano difficili da utilizzare, il guadagno che ne deriva è maggiore rispetto al mondo Android.

Parlando di zero-day le vulnerabilità in iOS rappresentano il 64% di tutti i 17 attacchi di questo tipo sui quali i criminali informatici hanno potuto fare leva l’anno passato.
“Nel 2021 sono state rivelate 11 distinte vulnerabilità zero-day sfruttate in-the-wild che prendono di mira Apple iOS e Apple WebKit. Esse rappresentano il 19% di tutti gli exploit zero-day dell’anno“, si legge nel rapporto di Zimperium.

Zimperium ha anche analizzato le app più popolari nelle categorie finanza, sanità, retail e lifestyle su Google Play Store e Apple App Store. La conclusione è che le app rappresentano dei “punti deboli” per ogni utente e per i dati che sono conservati nei loro dispositivi, specie se gli sviluppatori non utilizzano alcune accortezze di fondamentale importanza.
Secondo Zimperium l’80% delle app finanziarie per Android utilizzano soluzioni crittografiche vulnerabili; l’82% delle app per l’acquisto di prodotti e servizi non integrano alcuna protezione del codice.

Rispetto agli anni precedenti, sia Google (Android) che Apple (iOS) hanno fatto molta strada per quanto riguarda la sicurezza e i loro sistemi operativi sono concepiti per escludere molte tipologie di attacco. Oggi i criminali informatici sono costretti a scoprire e concatenare più vulnerabilità per raggiungere obiettivi significativi.

Il fatto è che gestire i dispositivi mobili in azienda e valutare le modalità con cui device personali vengono usati all’interno della rete dell’impresa resta fondamentale, ancora più al giorno d’oggi.
Molte organizzazioni hanno sacrificato controlli di sicurezza rigorosi per sostenere la produttività e la continuità del business in tempi di cambiamenti significativi nei flussi di lavoro e nelle modalità di collaborazione.

Zimperium ha ricordato anche alcune delle più rilevanti falle di sicurezza che sono state corrette nel 2021:

Alcune delle più notevoli scoperte e correzioni di sicurezza mobile nell’anno che è passato sono:

– Con iOS 14.4.2, Apple ha risolto una falla zero-day nel motore WebKit (CVE-2021-1879) attivamente sfruttata per attacchi cross-site scripting.
– Il malware Android GriftHorse ha infettato 10 milioni di dispositivi in 70 Paesi.
– Il rilascio di iOS 14.8 ha permesso ad Apple di risolvere lo zero-day sfruttato dallo spyware Pegasus per operazioni di spionaggio ad alto livello su scala globale.
– Il malware Android FlyTrap ha fatto leva sull’ingegneria sociale e sull’utilizzo di privilegi speciali per sovrapporre elementi grafici su altre app in esecuzione e rubare le credenziali per l’accesso agli account Facebook in 140 Paesi.
– A maggio 2021 Google ha rilasciato un aggiornamento di sicurezza per affrontare quattro zero-day attivamente sfruttati su componenti software adoperati dalla GPU.

Mantenere il sistema operativo aggiornato applicando le patch di sicurezza disponibili è la chiave di volta, inoltre, per scongiurare qualunque tentativo di aggressione.
Il consiglio è sempre quello di verificare con attenzione le app installate sui propri dispositivi disinstallando quelle che non si utilizzano.
È essenziale controllare i permessi assegnati alle app Android evitando l’installazione delle applicazioni che richiedono autorizzazioni troppo ampie o potenzialmente pericolose.

Di recente si è sollevato un vespaio intorno alle app Android che usano il microfono ma il problema non è solo questo perché la questione riguarda, nel suo complesso, i permessi che gli utenti assegnano.

In un altro articolo abbiamo presentato i suggerimenti per migliorare la sicurezza dei dispositivi Android.