Android, attacchi a mezzo Toast dalla teoria alla pratica

I ricercatori ne avevano parlato qualche settimana fa, e ora una security enterprise ha scovato il primo caso di codice malevolo progettato per abusare delle famigerate notifiche Toast. Google? Pensa di cancellare migliaia di app

Roma – Se lo scorso settembre un attacco a base di Toast Overlay era solo teorico, ora i ricercatori hanno individuato la prima minaccia concreta progettata per abusare la succitata funzionalità del sistema operativo Android. La patch rilasciata da Google (CVE-2017-0752) non era evidentemente risolutiva, e ora la corporation dice di voler fare piazza pulita di tutte quelle app che in un modo o nell’altro prendono di mira i servizi per l’accessibilità del sistema operativo mobile.

Il primo caso di malware basato su Toast – vale a dire quelle notifiche grafiche messe a disposizione da Android tramite API – si chiama ToastAmigo : è stato individuato da Trend Micro ed è pensato per abusare della buona fede dell’utente al fine di installare ulteriore codice malevolo spara-advertising .

ToastAmigo è risultato presente in due diverse app presenti sullo store ufficiale Play, dicono i ricercatori, entrambe chiamate Smart AppLocker e teoricamente progettate per impostare un PIN per l’apertura delle altre app installate. Le app malevole presentano un’interfaccia fittizia all’utente, ma sotto la grafica fasulla sono presenti i controlli con cui i cyber-criminali intendono guadagnarsi l’accesso ai servizi per l’accessibilità del terminale.


Una volta superato anche questo scoglio, ToastAmigo mostra la sua vera faccia scaricando e installando un’ulteriore app infetta con AmigoClicker . Lo scopo, in questo caso, è l’ installazione di un proxy da cui far passare i banner pubblicitari con cui i cyber-criminali incassano il loro guadagno illecito.

In definitiva, più che l’abuso delle notifiche Toast, l’accoppiata ToastAmig+AmigoClicker ha evidenziato i rischi connessi all’uso troppo facilitato dei servizi di accessibilità dell’OS Android . Non è un caso che Google abbia finalmente deciso di mettere mano al problema con un ultimatum di 30 giorni agli sviluppatori prima di cancellare (definitivamente?) da Play quelle app che usano i servizi pensati per gli utenti disabili senza però fornire alcuna utilità oggettiva a questi ultimi .

Alfonso Maruccia

fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Marco Ravich scrive:
    Libro interessante, ma forse obsoleto
    Dal sito: https://www.reply.com/it/content/ballotchainConsideriamo un sistema online in cui sia possibile votare da computer, tablet, cellulare o totem senza doversi recare fisicamente al seggio, ma con le stesse o migliori garanzie di una pubblica elezione:- Voto sicuro, anonimo, verificabile in ogni momento- Impossibilità di votare due volte o perpetrare brogli elettorali- Basso costo di gestione, non è richiesto controllo manualeIl tutto garantito anche in caso di attacchi alla disponibilità, grazie alle peculiarità della Blockchain Technology.
  • 570aea0fe48 scrive:
    Propaganda
    ... il voto digitale è una soluzione in cerca di un problema che non c'è ... Ma certo! Il voto in Italia è libero, esente da trucchi e imbrogli! Il voto in Italia è l'espressione della volontà popolare contro il potere, le mafie e le clientele! Ma piantala con questa propaganda !!!!! ... il voto digitale introduce nuove criticità ... Non è un motivo valido per rimanere inchiodati con i imbrogli odierni. ... negazione della semplicità, della trasparenza e dell'accessibilità ... Che è la stessa cosa del voto odierno con il conteggio affidato a migliaia di piccoli gruppi di persone prescelti dagli amministratori locali. Mettere insieme gruppetti di scrutatori disponibili a truccare i coonteggi è relativamente facile, proprio perchè non esiste nessuna trasparenza nella maniera in cui avviene la selezione. ... è difficile da progettare e realizzare... Ripeto. Non è un motivo valido per rimanere inchiodati con i imbrogli odierni. ... Nasconderebbe quindi gli inevitabili errori, i nuovi problemi e altrettanto bene i nuovi brogli. ... Gli errori esistono sempre, quello che ci vuole è la volontà di risolverli. Serve un proXXXXX trasparente per preparare delle specifiche standard con messagistica standard a livello internazionale senza gli americani e le corporations di mezzo.
    • scoreggia micidiale scrive:
      Re: Propaganda
      Primo: uno che scrive per due volte "i imbrogli" dovrebbe solo nascondersi.Secondo: di che imbrogli stai parlando? Cita pure. Cosa sei, il fuddaro 2.0 che pensa di cavarsela con cialtronate e frasi fatte alla "siamo tutti fregati" e "piove governo ladro"?
      • 570aea0fe48 scrive:
        Re: Propaganda
        - Scritto da: XXXXXXXXX micidiale
        Primo: uno che scrive per due volte "i imbrogli"
        dovrebbe solo
        nascondersi.
        Uno che si attacca agli errori di ortografia o battitura dimostra la sua pochezza di idee. P.S. Ero incerto se scrivere brogli o imbrogli, la seconda frase è un copia e incolla.
        • scoreggia micidiale scrive:
          Re: Propaganda
          Invece uno che parla di brogli ottenuti a causa del voto non elettronico che sarebbero risolti dal voto elettronico... e che poi invece non sa portare un esempio concreto nè dei brogli nè di come potrebbe il voto elettronico risolvere la situazione, cosa dimostra?
          • 017803a8a40 scrive:
            Re: Propaganda

            Invece uno che parla di brogli ottenuti a causa
            del voto non elettronico che sarebbero risolti
            dal voto elettronico.https://en.wikipedia.org/wiki/Straw_manIn caso fossi troppo ignorante c'è anche una traduzione, anche se troppo semplificata:https://it.wikipedia.org/wiki/Argomento_fantoccio
    • quartopiano scrive:
      Re: Propaganda
      [yt]9Pfx-J6f90k[/yt]https://www.aneddoticamagazine.com/it/voto-digitale/
      • e9c7bab35b2 scrive:
        Re: Propaganda
        Ho fatto dei commenti sugli argomenti di Cassandra. Ripetere a pappagallo quegli argomenti non è una risposta ai miei commenti.
  • registrazio ne no scrive:
    registrazione? no grazie...
    Leggerei volentieri... Ma se per scaricare il testo devo registarmi con una email "vera" accettando le condizioni di servizio... beh allora NO, grazie.Se qualcuno (Cassandra???) potesse indicare un link alternativo senza regiastrazione...Saluti
    • Marco Calamari scrive:
      Re: registrazione? no grazie...
      - Scritto da: registrazio ne no
      Leggerei volentieri...
      Ma se per scaricare il testo devo registarmi con
      una email "vera" accettando le condizioni di
      servizio... beh allora NO, grazie.

      Se qualcuno (Cassandra???) potesse indicare un
      link alternativo senza regiastrazione...Il testo lo trovi su tutti i principali store e siti di ebook, sempre gratuito.Non so come siano messi con la registrazione.Se fosse comunque un problema, scrivimi in pvt e te lo invio per posta.
    • quartopiano scrive:
      Re: registrazione? no grazie...
      La Guida Hermes Al Voto Digitale e' liberamente scaricabile daAneddotica Magazinehttps://www.aneddoticamagazine.com/it/voto-digitale/
  • Teo_ scrive:
    Blockchain?
    Non ho letto il libro ma prima o poi lo farò.Un pensiero che facevo a riguardo era la possibilità di usare una blockchain per fornire trasparenza come su https://followmyvote.comCome inibire però i voti di scambio?
    • rudy scrive:
      Re: Blockchain?
      infatti io penso che sia un argomento su cui pensarci un po.leggendo il manuale di liquid feedback (lo trovi online .."gratis") sostengono che non sia possibile anonimato e sicurezza assieme, per cui p.es. 5stelle, che usa un sistema derivato da liquid feedback, opta se ho capito per il non anonimato.personalmente credo che ci sia ancora da esplorare prima di dare una risposta. che attualmente quindi non c''e, benvenuto chi si fa venire delle idee, e non solo sul voto di scambio.
      • bubba scrive:
        Re: Blockchain?
        - Scritto da: rudy
        infatti io penso che sia un argomento su cui
        pensarci un
        po.
        leggendo il manuale di liquid feedback (lo trovi
        online .."gratis") sostengono che non sia
        possibile anonimato e sicurezza assieme, si esatto... e' previsto il voto palese... in effetti LFQB e' adatto principalmente per votazioni su proposte da parte di gente gia' eletta.In una elezione, fatta da strumenti online, oltre il problema dell'anonimato ci sarebbe quello della coercizione (da fare in un seggio e' ovviamente molto piu difficile)
        per cui
        p.es. 5stelle, che usa un sistema derivato da
        liquid feedback, opta se ho capito per il non
        anonimato.ehhh... un po di attivisti volenterosi (barillari a roma, altri a milano ecc) si erano messi su lfqb, ma il centro di potere sta roba non l'ha mai voluta... e si e' rimasti col catorcio dei casaleggi...
        personalmente credo che ci sia ancora da
        esplorare prima di dare una risposta. che
        attualmente quindi non c''e, benvenuto chi si fa
        venire delle idee, e non solo sul voto di
        scambio.
      • non fate gli gnorri scrive:
        Re: Blockchain?
        Lo vuoi capire che l' urna elettronica è GIA' stata implementata in vari paesi ed il risultato, dopo lunghi anni di prove, è stato disastroso in termini di trasparenza e costi? Come XXXXX te lo dobbiamo dire? In cirillico? In dialetto siciliano? Con i disegnini? In braille?http://www.zdnet.com/article/fraud-possible-in-brazils-e-voting-system/https://www.theguardian.com/technology/2009/apr/30/e-voting-electronic-polling-systemshttps://ballotpedia.org/Electronic_vote_fraudLe urne elettroniche scazzano di brutto e sono carissime, nel caso dovessimo implementarle si ripeterebbe la solita storiella all' italiana: tutto continuerebbe a non funzionare, appalti faraonici agli amici e i costi schizzerebbero ntu culu di pantalone.
        • 570aea0fe48 scrive:
          Re: Blockchain?
          - Scritto da: non fate gli gnorri
          Lo vuoi capire che l' urna elettronica è
          <b
          GIA' </b
          stata implementata in vari paesi ed
          il risultato, dopo lunghi anni di prove, è stato
          disastroso in termini di trasparenza e costi?
          Come XXXXX te lo dobbiamo dire? In cirillico? In
          dialetto siciliano? Con i disegnini? In
          braille?Un sistema di voto disegnato dalle corporations americane non è una buona scusa per respingere l'idea di voto elettronico.Questo è il classico trucco del sistema che sfrutta le sue stesse XXXXXte per attaccare possibili soluzioni.Serve un proXXXXX trasparente per preparare delle specifiche standard per un nuovo sistema di voto elettronico con messagistica standard a livello internazionale senza gli americani e le corporations di mezzo.
          • ... scrive:
            Re: Blockchain?
            Serve serve serve.E gli americani, e le corporation, e il sistema nuovo. Lo fai tu il sistrema nuovo XXXXXXXX?!?Serve che ti levi dalle palle.
        • scoreggia micidiale scrive:
          Re: Blockchain?
          Per non parlare della mancata sicurezza e l'impossibilità concreta in caso di compromissione di sapere veramente cos'è sucXXXXX.
        • Marco Ravich scrive:
          Re: Blockchain?
          ...fin'ora...http://www.spidchain.com/it/spid-e-blockchain-per-rivoluzionare-la-democrazia/https://www.bitconio.net/2017/10/01/potenziare-la-democrazia-blockchain-boule-cambia-le-regole-dell-egovernment/
      • 570aea0fe48 scrive:
        Re: Blockchain?
        - Scritto da: rudy
        infatti io penso che sia un argomento su cui
        pensarci un
        po.
        leggendo il manuale di liquid feedback (lo trovi
        online .."gratis") sostengono che non sia
        possibile anonimato e sicurezza assieme, per cui
        p.es. 5stelle, che usa un sistema derivato da
        liquid feedback, opta se ho capito per il non
        anonimato.
        personalmente credo che ci sia ancora da
        esplorare prima di dare una risposta. che
        attualmente quindi non c''e, benvenuto chi si fa
        venire delle idee, e non solo sul voto di
        scambio.I primi ad usare il voto segreto sono stati gli antichi romani per l'elezione dei consoli, dopo secoli di voto palese si erano resi conto di come il voto palese espone gli elettori alla corruzione o alle minacce e in casi estremi pure alle vendette dopo il voto.
        • rudy scrive:
          Re: Blockchain?
          credo dipenda anche dalla cultura/situazione sociopolitica dei votanti. In molti posti con voto cartaceo si vota per posta e immagino quindi il problema in alcune situazioni non sia considerato criticola blockchain, cioe' la pubblicazione dei dati digitali effettivi in forma firmata, e' sicuramente un pilastro che permette gia molto. se per la segretezza non c''e ancora soluzione, io non penso sia un problema sicuramente irresolubile; p.es, followmyvote tra i vari howto dice:"What safeguards are there against being pressured to vote in a certain way?One of the major benefits of an online voting system is the flexibility it offers to voters in terms of where and when they vote. Voters can vote in a time and place where they feel best enabled to make an honest and informed voting decision. If a voter still feels pressured in any way, our system provides a mechanism by which voters can revoke their online vote and instead vote on a paper ballot at a polling place, without opening up the possibility for a vote to be counted multiple times."cioe' sembrerebbe esserci un meccanismo di revoca del voto che darebbe segretezza effettiva.sarebbe da vededre piu in dettaglio nel software, ma il codice non e' open (il che non testimonia in favore ne suo ne del gruppo californiano; peraltro il sito e' un .com no?)la sicurezza generale e' un problema, ma dirlo impossibile e' prematuro: le transazioni finaziarie e i soldi di tuttti viaggiano beatamente online.
  • rudy scrive:
    una risposta a caldo pre-lettura guida..
    mi leggero la guida ma una risposta a caldo: il voto digitale secondo me non va inteso come banale sostituto di quello cartaceo, ma come campo in cui esplorare nuovi livelli di democrazia che le possibilita tecnologiche rendono possibile.esplorare significa anche che non e' che si piglia e impacchetta la soluzione perche di mezzo ci sono i meccanismi della democrazia che sono ben lungi dall'essere semplici e lineari. quindi sono in disaccordo sul tono "semplicemente disfattista" dell'articolo e spero che l'argomento sara affrontato anche successivamente.
    • Sorbona scrive:
      Re: una risposta a caldo pre-lettura guida..
      - Scritto da: rudy
      mi leggero la guida ma una risposta a caldo: il
      voto digitale secondo me non va inteso come
      banale sostituto di quello cartaceo, ma come
      campo in cui esplorare nuovi livelli di
      democraziaNon devi esplorare XXXXXXXXX! Il voto digitale è un disastro in termini di costi e di trasparenza.
      che le possibilita tecnologiche
      rendono
      possibile.Possibilità possibili? Ma XXXXXXXXXXXXXXXXXX.
      esplorare significaSignifica leggerti il libro raccomandato dal Sig. Calamari.
      anche che non e' che si
      piglia e impacchetta la soluzione percheGli accenti idiota!
      di mezzo
      ci sono i meccanismi della democrazia che sono
      ben lungi dall'essere semplici e lineari.Democrazia significa, sotto certe premesse, TOGLIERE un po' di potere allo stato per darlo ai cittadini, se ci metti di mezzo un software (come al solito non auditabile) TU, come minimo, perdi il diritto di ricontare i voti. XXXXXXXXXXXXXX!


      quindiQuindi sei un XXXXXXXX.
      sono in disaccordo sul tono "semplicemente
      disfattista" dell'articolo e spero che
      l'argomento sara affrontato anche
      successivamente.Devi essere un renziano di XXXXX.
      • etimo scrive:
        Re: una risposta a caldo pre-lettura guida..
        - Scritto da: Sorbona
        Gli accentie le virgole!
        Democrazia significa, sotto certe premesse,
        TOGLIERE un po' di potere allo stato per darlo ai
        cittadiniNon significa togliere e dare, significa semplicemente sovranità del popolo. Il senso della democrazia è cercare di accontentare più gente possibile; non tanto una maggioranza che metta i piedi in testa agli altri, né ancor meno una minoranza che pretenda che tu faccia esattamente come vuole lei, altrimenti è inciucio-golpe-siete-circondati... ottimo per auto-emarginarsi XXXXXXXXscamente. Chi troppo vuole nulla stringe.

        sono in disaccordo sul tono "semplicemente

        disfattista" dell'articolo e spero che

        l'argomento sara affrontato anche

        successivamente.

        Devi essere un renziano di XXXXX.Quelli sono abbastanza penosi, come tutti gli -ani; ma pensavo più ad un pentasfigato grullino, quelli che tipicamente esplorano "nuovi livelli di democrazia che le possibilita tecnologiche" e l'analfabetismo ci porta via. Sai, quegli amanti della democrazia, che eleggono amici e parenti alle "parlamentarie" farsa, quelli che chiamano quel coso "sistema operativo", belando dietro al grande-insetto-che-ha-sempre-ragione e proprietario del blog balcone.[img]http://img2.tgcom24.mediaset.it/binary/fotogallery/facebook/59.$plit/C_2_fotogallery_3007883_3_image.jpg[/img]
        • sei un rosicone di merda scrive:
          Re: una risposta a caldo pre-lettura guida..

          (deliri a raffica)mado' non capisci proprio un XXXXX! :D
          • fact_ checker scrive:
            Re: una risposta a caldo pre-lettura guida..
            Hai ragione, il poveretto non capisce neanche quando glielo spiegano. Qui c'è una sua foto:[img]http://www.giornalettismo.com/wp-content/uploads/2013/10/alessandro-sallusti.jpg[/img]
          • pensa ai cazzi tuoi scrive:
            Re: una risposta a caldo pre-lettura guida..
            Stiamo ancora aspettando la definizione corretta di democrazia, ne avessi azzeccata una nei tuoi tentativi farlocchi.
    • ... scrive:
      Re: una risposta a caldo pre-lettura guida..
      - Scritto da: rudy
      mi leggero la guida ma una risposta a caldo: il
      voto digitale secondo me non va inteso come
      banale sostituto di quello cartaceo, ma come
      campo in cui esplorare nuovi livelli di
      democrazia che le possibilita tecnologiche
      rendono
      possibile.
      esplorare significa anche che non e' che si
      piglia e impacchetta la soluzione perche di mezzo
      ci sono i meccanismi della democrazia[img]http://m.memegen.com/8hs6ko.jpg[/img]
      • claudio scrive:
        Re: una risposta a caldo pre-lettura guida..
        - Scritto da: ...
        - Scritto da: rudy

        mi leggero la guida ma una risposta a caldo: il

        voto digitale secondo me non va inteso come

        banale sostituto di quello cartaceo, ma come

        campo in cui esplorare nuovi livelli di

        democrazia che le possibilita tecnologiche

        rendono

        possibile.

        esplorare significa anche che non e' che si

        piglia e impacchetta la soluzione perche di
        mezzo

        ci sono i meccanismi della democrazia
        [img]
        http://m.memegen.com/8hs6ko.jpg[/img]Quotone, chi parla cosi' e' un grillino!
    • bubba scrive:
      Re: una risposta a caldo pre-lettura guida..
      - Scritto da: rudy
      mi leggero la guida ma una risposta a caldo: il
      voto digitale secondo me non va inteso come
      banale sostituto di quello cartaceo, ma come
      campo in cui esplorare nuovi livelli di
      democrazia che le possibilita tecnologiche
      rendono
      possibile.
      esplorare significa anche che non e' che si
      piglia e impacchetta la soluzione perche di mezzo
      ci sono i meccanismi della democrazia che sono
      ben lungi dall'essere semplici e lineari.
      si il voto digitale e' seducente... ma alla fine qualcosa crepa sempreIn Estonia, patria del digitale e dell e-vote, e' sucXXXXX questo :https://www.schneier.com/blog/archives/2017/09/security_flaw_i.htmlOn 30 August, an international team of researchers informed the Estonian Information System Authority (RIA) of a vulnerability potentially affecting the digital use of Estonian ID cards. The possible vulnerability affects a total of almost 750,000 ID-cards issued starting from October 2014(..)In Estonia, approximately 35% of the voters use digital identity to vote online.
      • scoreggia micidiale scrive:
        Re: una risposta a caldo pre-lettura guida..
        Il voto digitale è seducente solo per quei dementi che si fiderebbero di più di una macchina che "si guida da sola" di loro stessi. Trattasi di gente decerebrata.
        • bubba scrive:
          Re: una risposta a caldo pre-lettura guida..
          - Scritto da: XXXXXXXXX micidiale
          Il voto digitale è seducente solo per quei
          dementi che si fiderebbero di più di una macchina
          che "si guida da sola" di loro stessi. Trattasi
          di gente
          decerebrata.scusa, ma sei troppo idiota perche' io riesca a parlare con te. Torna tra qualche upgrade ;)
          • scoreggia micidiale scrive:
            Re: una risposta a caldo pre-lettura guida..
            Ma XXXXXXXXXXXX, guarda che sei un cretino che posta su PI, non fai impressione a nessuno.
          • fact_ checker scrive:
            Re: una risposta a caldo pre-lettura guida..
            Confermo, sei troppo idiota.
        • claudio scrive:
          Re: una risposta a caldo pre-lettura guida..
          - Scritto da: XXXXXXXXX micidiale
          Il voto digitale è seducente solo per quei
          dementi che si fiderebbero di più di una macchina
          che "si guida da sola" di loro stessi. Trattasi
          di gente
          decerebrata.Ma certo i grillini che non capiscono la tecnologia ma, al pari della magia, la anelano e si tengono in tasca una workstation portatile zeppa di virus che vogliono avere.
          • fact_checke r scrive:
            Re: una risposta a caldo pre-lettura guida..
            I grillini capiscono solo quello che dice il loro guru, così si fanno manipolare.
      • scoreggia micidiale scrive:
        Re: una risposta a caldo pre-lettura guida..
        Il voto digitale è seducente solo per quei dementi che si fiderebbero di più di una macchina che "si guida da sola" di loro stessi. Trattasi di gente decerebrata.
      • rudy scrive:
        Re: una risposta a caldo pre-lettura guida..
        io penso che questo succede perche gente spesso manco competente crede di poter semplicemente prendere il voto di carta di ora e metterci su il digitale.
Chiudi i commenti