Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Hoover: il keylogger invisibile per Android
Sfrutta il sensore di prossimità usato per i comandi Hover e può essere usato per registrare quali tasti vengono premuti sullo schermo.
Quando si introduce una nuova funzione negli smartphone, c’è sempre il rischio che possa trasformarsi in una falla di sicurezza. È quello che è successo con Hover, il sensore di prossimità che da qualche tempo viene integrato in molti terminali Android.
Nelle intenzioni, il sensore di prossimità permette di eseguire comandi muovendo le mani (o le dita) vicino allo schermo, ma senza toccarlo. Una funzione senza dubbio utile, ma che si presta anche ad altri scopi. Per esempio registrare tutto quello che viene digitato sullo schermo.
A mettere a punto un sistema che sfrutta questa tecnologia è stato un gruppo di ricercatori, tra cui Alessandro Mei della Sapienza di Roma, che in un’intervista a SecurityInfo.it ci ha spiegato come funziona esattamente questa tecnica di attacco.
“Tutti i sistemi di input, come il tocco dello schermo, generano dei log a cui accedono le app che in quel momento sono attive” spiega Mei. “Per intercettarli, in teoria, è sufficiente usare una tecnica di overlay, cioè fare in modo che l’app malevola si sovrapponga a quella legittima come se fosse una pellicola trasparente, che l’utente non vede”.
Questa tecnica, però, ha un difetto: se gli input vengono intercettati, non possono essere elaborati dall’applicazione legittima e, nel caso per esempio della scrittura di un’email, l’utente non vedrebbe comparire alcun testo sullo schermo.
Ed ecco dove entra in gioco Hover. “Il sensore di prossimità integrato nei telefoni di nuova generazione ha una discreta precisione, che consente di capire in quale posizione si trovano le dita” prosegue Mei. “Se si intercetta il log relativo alla posizione del dito immediatamente dopo che è stato toccato lo schermo, in pratica si può sapere con una buona approssimazione quale lettera è stata appena digitata”.
Mei, insieme ai colleghi Enis Ulqinaku, Luka Malisa, Julinda Stefa e Srdjan Capkun è partito da questa idea per mettere a punto Hoover (aspirapolvere), un software che sfrutta la funzione Hover per agire come keylogger.
“Hoover sfrutta la tecnica dell’overlay, ma in maniera intermittente, in modo che l’app legittima in uso riceva normalmente l’input della tastiera” ci spiega.
Lo schema di funzionamento di Hoover come descritto nella ricerca.
In pratica, non appena l’utente ha premuto il tasto desiderato, Hoover si attiva e accede al log generato dal sensore di prossimità, registrando la posizione del dito. Il tutto dura una frazione di secondo e, subito dopo, il keylogger torna in background. L’operazione si ripete per ogni pressione sullo schermo.
Ma quale livello di precisione ha questo sistema? Come spiega Alessandro Mei, è elevatissimo. “Se parliamo di una password, siamo intorno al 79%. Nel caso di un testo di senso compiuto, come un’email o un messaggio, l’uso di un sistema di correzione automatico consente di arrivare a oltre il 95%”.
Se il dispositivo utilizza un pennino, poi, l’accuratezza del sistema migliora ulteriormente. Stando ai dati dei ricercatori, infatti, in simili condizioni si arriva al 98%.
A rendere ancora più efficace questa tecnica di spionaggio c’è il fatto che il codice di Hoover può essere inserito in qualsiasi tipo di app e, per funzionare, non ha bisogno di permessi particolari al momento dell’installazione.
“La prima versione che abbiamo messo a punto sfruttava una tecnica di overlay basata sulle Alert Window, che hanno priorità su tutte le altre app e vengono usate ad esempio dal telefono per mostrare una chiamata in arrivo. Il loro utilizzo richiede però un permesso specifico” precisa Mei.
“In seguito, però, abbiamo messo a punto un’altra tecnica che permette di ottenere lo stesso risultato senza che siano necessari permessi particolari. Se un pirata informatico usasse questa tecnica, avrebbe solo bisogno che l’app possa accedere a Internet. E questo è un permesso che viene dato in automatico a tutte le app” conclude.
Per il momento Mei e gli altri ricercatori non hanno reso pubblico il Proof of Concept che hanno messo a punto, in attesa che Google possa rendere disponibile un aggiornamento che corregga la vulnerabilità.
Condividi l'articolo
Falla critica nei prodotti Symantec: aggiornare di corsa
Carbanak ora attacca hotel e ristoranti. Chiamandoli al telefono…
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
