Hoover: il keylogger invisibile per Android

Nov 17, 2016 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0

Sfrutta il sensore di prossimità usato per i comandi Hover e può essere usato per registrare quali tasti vengono premuti sullo schermo.

Quando si introduce una nuova funzione negli smartphone, c’è sempre il rischio che possa trasformarsi in una falla di sicurezza. È quello che è successo con Hover, il sensore di prossimità che da qualche tempo viene integrato in molti terminali Android.

Nelle intenzioni, il sensore di prossimità permette di eseguire comandi muovendo le mani (o le dita) vicino allo schermo, ma senza toccarlo. Una funzione senza dubbio utile, ma che si presta anche ad altri scopi. Per esempio registrare tutto quello che viene digitato sullo schermo.

A mettere a punto un sistema che sfrutta questa tecnologia è stato un gruppo di ricercatori, tra cui Alessandro Mei della Sapienza di Roma, che in un’intervista a SecurityInfo.it ci ha spiegato come funziona esattamente questa tecnica di attacco.

“Tutti i sistemi di input, come il tocco dello schermo, generano dei log a cui accedono le app che in quel momento sono attive” spiega Mei. “Per intercettarli, in teoria, è sufficiente usare una tecnica di overlay, cioè fare in modo che l’app malevola si sovrapponga a quella legittima come se fosse una pellicola trasparente, che l’utente non vede”.

Questa tecnica, però, ha un difetto: se gli input vengono intercettati, non possono essere elaborati dall’applicazione legittima e, nel caso per esempio della scrittura di un’email, l’utente non vedrebbe comparire alcun testo sullo schermo.

Ed ecco dove entra in gioco Hover. “Il sensore di prossimità integrato nei telefoni di nuova generazione ha una discreta precisione, che consente di capire in quale posizione si trovano le dita” prosegue Mei. “Se si intercetta il log relativo alla posizione del dito immediatamente dopo che è stato toccato lo schermo, in pratica si può sapere con una buona approssimazione quale lettera è stata appena digitata”.

Mei, insieme ai colleghi Enis Ulqinaku, Luka Malisa, Julinda Stefa e Srdjan Capkun è partito da questa idea per mettere a punto Hoover (aspirapolvere), un software che sfrutta la funzione Hover per agire come keylogger.

“Hoover sfrutta la tecnica dell’overlay, ma in maniera intermittente, in modo che l’app legittima in uso riceva normalmente l’input della tastiera” ci spiega.

Lo schema di funzionamento di Hoover come descritto nella ricerca.

In pratica, non appena l’utente ha premuto il tasto desiderato, Hoover si attiva e accede al log generato dal sensore di prossimità, registrando la posizione del dito. Il tutto dura una frazione di secondo e, subito dopo, il keylogger torna in background. L’operazione si ripete per ogni pressione sullo schermo.

Ma quale livello di precisione ha questo sistema? Come spiega Alessandro Mei, è elevatissimo. “Se parliamo di una password, siamo intorno al 79%. Nel caso di un testo di senso compiuto, come un’email o un messaggio, l’uso di un sistema di correzione automatico consente di arrivare a oltre il 95%”.

Se il dispositivo utilizza un pennino, poi, l’accuratezza del sistema migliora ulteriormente. Stando ai dati dei ricercatori, infatti, in simili condizioni si arriva al 98%.

A rendere ancora più efficace questa tecnica di spionaggio c’è il fatto che il codice di Hoover può essere inserito in qualsiasi tipo di app e, per funzionare, non ha bisogno di permessi particolari al momento dell’installazione.

“La prima versione che abbiamo messo a punto sfruttava una tecnica di overlay basata sulle Alert Window, che hanno priorità su tutte le altre app e vengono usate ad esempio dal telefono per mostrare una chiamata in arrivo. Il loro utilizzo richiede però un permesso specifico” precisa Mei.

“In seguito, però, abbiamo messo a punto un’altra tecnica che permette di ottenere lo stesso risultato senza che siano necessari permessi particolari. Se un pirata informatico usasse questa tecnica, avrebbe solo bisogno che l’app possa accedere a Internet. E questo è un permesso che viene dato in automatico a tutte le app” conclude.

Per il momento Mei e gli altri ricercatori non hanno reso pubblico il Proof of Concept che hanno messo a punto, in attesa che Google possa rendere disponibile un aggiornamento che corregga la vulnerabilità.

Condividi l'articolo