A non molta distanza dalla pubblicazione dei dettagli su Stagefright e le relative contromosse da parte dell’industria, i ricercatori di Check Point Software approfittano del palco della conferenza Black Hat per presentare Certifi-gate. Come Stagefright, questo nuovo set di vulnerabilità di basso livello mette a rischio la sicurezza di milioni di dispositivi Android e i dati degli utenti.
Gli analisti di Check Point hanno identificato le vulnerabilità nel metodo di concessione delle autorizzazione a una classe di app mobile definita Remote Support Tool (mRST), strumenti generalmente integrati all’interno dei dispositivi Android e utili per fornire supporto remoto senza interazione diretta da parte dell’utente finale.
Sfruttando lo scarso livello di controllo di Android sulle autorizzazioni concesse alle app mRST, spiegano i ricercatori , è possibile trasformare le suddette app in vere e proprie “porte d’ingresso per guadagnare il controllo di centinaia di milioni di dispositivi Android”; le possibilità di azioni malevole sono innumerevoli, tra cattura dello schermo, keylogging, intercettazione delle informazioni private, installazione di app con funzionalità da backdoor e altro ancora.
A Los Angeles i ricercatori hanno dimostrato la capacità di far danni connesse ai bug Certifi-gate creando certificati crittografici fasulli, installando una app-torcia con cui hanno preso il controllo totale del dispositivo e persino inviando un singolo messaggio di testo capace di forzare il tool mRST integrato a compiere azioni potenzialmente malevole.
Sia Google che i principali produttori di gadget Android sono già stati informati del Certifi-gate, spiegano da Check Point, e molti hanno già provveduto a chiudere le vulnerabilità incriminate. Sia come sia, stando ai trend sulle vulnerabilità di Secunia il 2015 non sarà un anno particolarmente felice per la sicurezza informatica – e Android non farà eccezione : nella prima parte dell’anno le falle zero day scoperte sono già 15, e probabilmente alla fine del 2015 supereranno le 25 totali scoperte nel 2014.
Alfonso Maruccia
-
Solite vittime
Sarà stato come al solito Putin in persona, basta criminalizzare la Russia ogni scusa è buona, ma non sono loro ad avere bombardato mezzo mondo (anche con armi atomiche, città piene di civili inermi).Detto questo l'America ha fatto tante cose buone, ma non hanno vergona di loro stessi.Giuseppe RossiRe: Solite vittime
- Scritto da: Giuseppe Rossi> Sarà stato come al solito Putin in persona, basta> criminalizzare la Russia ogni scusa è buona, ma> non sono loro ad avere bombardato mezzo mondo> (anche con armi atomiche, città piene di civili> inermi).> Detto questo l'America ha fatto tante cose buone,> ma non hanno vergona di loro> stessi.Come sei passato da una notizia su presunti cracker russi alle bombe atomiche sul Giappone 70 anni fa lo sai solo tu....Re: Solite vittime
- Scritto da: ...> - Scritto da: Giuseppe Rossi> > Sarà stato come al solito Putin in persona,> basta> > criminalizzare la Russia ogni scusa è buona, ma> > non sono loro ad avere bombardato mezzo mondo> > (anche con armi atomiche, città piene di civili> > inermi).> > Detto questo l'America ha fatto tante cose> buone,> > ma non hanno vergona di loro> > stessi.> > Come sei passato da una notizia su presunti> cracker russi alle bombe atomiche sul Giappone 70> anni fa lo sai solo tu.Se leggi i giornali in questi giorni c'è questa notizia e di fianco la commemorazione di hiroscima in quasi tutto il mondo (negli usa no).Un altroRe: Solite vittime
Vai con la legge di Godwin! (rotfl)piaccapiRe: Solite vittime
- Scritto da: Un altro> - Scritto da: ...> > Come sei passato da una notizia su presunti> > cracker russi alle bombe atomiche sul> Giappone> 70> > anni fa lo sai solo tu.> > Se leggi i giornali in questi giorni c'è questa> notizia e di fianco la commemorazione di> hiroscima in quasi tutto il mondo (negli usa no).Tu vuoi che lui si metta a leggere giornali? Nooo, meglio perdere tempo qui su PI. Sempre sia in grado di leggere e capireZackRe: Solite vittime
- Scritto da: Giuseppe Rossi> Detto questo l'America ha fatto tante cose buone,Dimmene due ;-)Surak 2.0Re: Solite vittime
- Scritto da: Surak 2.0> - Scritto da: Giuseppe Rossi> > > Detto questo l'America ha fatto tante cose> buone,> > Dimmene due ;-)PRIMO: non rieleggere bush padreSECONDO: ... secondo... be, secondo... eh... ho gia' detto "non rieleggere bush padre"?prova123Re: Solite vittime
- Scritto da: Giuseppe Rossi> Sarà stato come al solito Putin in persona, basta> criminalizzare la Russia ogni scusa è buona, ma> non sono loro ad avere bombardato mezzo mondo> (anche con armi atomiche, città piene di civili> inermi).> Detto questo l'America ha fatto tante cose buone,> ma non hanno vergona di loro> stessi.La notizia riguarda grande madre Russia di sPutin colta nuovamente in fallo. Cosa c'entrano vicende militari della seconda guerra mondiale?rockrollBeh!
Avranno pensato che se il Segretario di Stato usava la sua casella di posta personale per comunicare anche robe inerenti l'attività, magari trovavano un altro "furbo" del genere pure al Pentagono.Non ci sarebbe da dargli torto a questi biscotti secchi salati!Surak 2.0Re: Beh!
- Scritto da: Surak 2.0> Avranno pensato che se il Segretario di Stato> usava la sua casella di posta personale per> comunicare anche robe inerenti l'attività, magari> trovavano un altro "furbo" del genere pure al> Pentagono.> Non ci sarebbe da dargli torto a questi biscotti> secchi> salati!da noi il problema non sussiste... il 90% dei parlamentari usa apple, google e M$ (nelle sue varie declinazioni)... e' tutto al sicuro nei server merigani :)bubbaRe: Beh!
- Scritto da: bubba> da noi il problema non sussiste... il 90% dei> parlamentari usa apple, google e M$ (nelle sue> varie declinazioni)... e' tutto al sicuro nei> server meriganiquello che mi ha meravigliato è stato questo http://www.rt.com/news/311898-defense-ministry-hackers-free-emailsegno che gli idioti non hanno nazionalitàcomunque un colpo di classe tirare in ballo un gruppo di "hacker buoni" ( il FSB!?! ) che hanno gentilmente avvisato il ministero di difesa e richiesto maggiore attenzionecollioneGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 7 ago 2015Ti potrebbe interessare