Le vulnerabilità di sicurezza di Android differiscono per paese
27 Maggio 2020 - Tempo di lettura: 14 minuti
I dispositivi smartphone Android prodotti dai produttori più importanti del mondo, tra cui Huawei, Samsung e Xiaomi, vengono spediti e venduti apertamente con livelli di sicurezza a bordo radicalmente diversi in diversi paesi, secondo i ricercatori di F-Secure in Finlandia.
Questa variazione evidenzia un significativo divario e barriera a una più ampia conoscenza e comprensione della sicurezza dei dispositivi Android in tutto il mondo, ma indica anche la strada verso un atteggiamento potenzialmente più perspicace nei confronti della ricerca sulle vulnerabilità.
"Individuare problemi come questi su più telefoni noti dimostra che questa è un'area che la comunità della sicurezza deve esaminare con maggiore attenzione", ha affermato Mark Barnes, ricercatore senior della sicurezza presso F-Secure Consulting.
"La nostra ricerca ci ha dato un'idea di quanto possa essere problematica la proliferazione di build Android personalizzate dal punto di vista della sicurezza. Ed è davvero importante sensibilizzare questo aspetto tra i fornitori di dispositivi, ma anche le grandi organizzazioni con operazioni in diverse regioni. "
I team di ricerca di F-Secure hanno esaminato più dispositivi, tra cui Huawei Mate 9 Pro, Samsung Galaxy S9 e Xiaomi Mi 9.
Hanno scoperto che i processi di sfruttamento per le vulnerabilità e la configurazione di Android variavano da dispositivo a dispositivo, il che è importante perché implica che i dispositivi venduti a livello globale offrono diversi livelli di sicurezza agli utenti situati in diversi paesi.
Ancora più preoccupante, il livello di sicurezza che un utente riceve alla fine dipende dal modo in cui il fornitore configura il dispositivo - quindi due persone in diversi paesi possono acquistare lo stesso dispositivo di base, ma uno sarà sostanzialmente più insicuro dell'altro.
"Si presume che i dispositivi che condividono lo stesso marchio funzionino allo stesso modo, indipendentemente da dove ti trovi nel mondo", ha affermato James Loureiro, direttore della ricerca nel Regno Unito presso F-Secure Consulting. "Tuttavia, la personalizzazione effettuata da fornitori di terze parti come Samsung, Huawei e Xiaomi può lasciare questi dispositivi con una sicurezza significativamente scarsa, a seconda della regione in cui è installato un dispositivo o della scheda SIM al suo interno.
"In particolare, abbiamo visto dispositivi forniti con oltre 100 applicazioni aggiunte dal fornitore, introducendo una superficie di attacco significativa che cambia in base alla regione."
Ad esempio, il Samsung Galaxy S9 rileva la regione in cui opera la sua scheda SIM, che a sua volta influenza il comportamento del dispositivo.
I ricercatori di F-Secure hanno affermato di aver trovato un modo per sfruttare un'applicazione per dare a un utente malintenzionato il pieno controllo del dispositivo se il dispositivo ha rilevato che stava eseguendo una SIM cinese, ma non una SIM di un altro paese.
Problemi simili si verificano sui dispositivi Huawei e Xiaomi testati. F-Secure ha affermato di aver compromesso i dispositivi Huawei Mate 9 Pro in Cina. In quel paese, dove è vietato l'accesso a Google Play, Huawei offre un app store chiamato AppGallery. Huawei AppGallery contiene diverse vulnerabilità che un hacker potrebbe utilizzare per stabilire un cosiddetto beachhead per lanciare ulteriori attacchi contro gli utenti di Mate 9 Pro cinesi, tra cui l'esecuzione di codice in remoto e il furto di dati.
Su Xiaomi Mi 9, F-Secure ha affermato che le vulnerabilità nel negozio GetApps del fornitore significavano che gli aggressori potevano assumere il pieno controllo del dispositivo manipolando gli utenti affinché visitassero un sito Web compromesso che controllano. Questa vulnerabilità esiste in Cina, India, Russia e forse in altri paesi. Un attacco simile è possibile utilizzando i tag NFC (Near Field Communication) controllati dall'aggressore.
F-Secure ha già dimostrato attacchi utilizzando queste vulnerabilità su Pwn2Own, una serie in corso di competizioni di hacking in cui i team cercano di compromettere vari dispositivi sfruttando zero-days mai scoperti prima. Da allora, tutte le vulnerabilità sopra descritte sono state corrette.
