Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Un altro firmware (cinese) per Android con backdoor di serie
Milioni di dispositivi low-cost inviano informazioni sensibili e consentono il controllo in remoto di smartphone e tablet.
Se le cose continueranno così, è probabile che dopo il caso Datagate seguito alle rivelazioni di Edward Snowden, la cronaca dovrà registrare anche un “Firmwaregate” in salsa cinese.
Stando a quanto riportato da Anubis Networks, infatti, il caso della backdoor nascosta nel firmware per Android sviluppato dall’azienda cinese Shanghai Adups Technology Co. Ltd non sarebbe un caso isolato.
I ricercatori della società di sicurezza hanno infatti individuato un sistema simile anche in un altro firmware per Android, distribuito da un’altra azienda cinese: Ragentek Group.
Gli analisti hanno individuato il software su un telefono BLU Studio G acquistato in un centro commerciale, che non è stato in alcun modo modificato una volta tirato fuori dalla scatola e nemmeno esposto in nessun modo a un possibile malware esterno.
Anche in questo caso, quindi, il problema si annida nel firmware preinstallato e, in particolare, in un sistema di aggiornamento Over-The-Air (OTA) che in pratica mantiene un collegamento aperto (e non protetto da crittografia) verso l’esterno, che consentirebbe di portare un attacco “Man in the Middle”.
Fino a questo punto, si potrebbe pensare a una semplice falla di sicurezza. Secondo i ricercatori, però, la questione è ben più grave.
Il sistema di aggiornamento, infatti, utilizza delle tecniche di offuscamento per nascondere la sua presenza all’utente e stabilisce un collegamento Internet con tre domini. Uno di questi, al momento della scoperta, era già registrato a nome di Ragentek Group.
Gli altri due, però, non erano registrati e Anubis Networks ha potuto utilizzarli per analizzare più in profondità il funzionamento dell’updater ed eseguire una scansione che gli ha permesso di individuare i modelli di dispositivi Android equipaggiati col firmware di Ragentek.
Si tratta di circa 3 milioni di dispositivi (55 modelli diversi) prodotti da BLU, Infinix Mobility, DOOGEE, LEAGOO, IKU Mobile, Beeline e XOLO. I ricercatori, però, non sono riusciti a identificare il 47% dei dispositivi raggiungibili.
I device su cui è installato il firmware incriminato sono tutti modelli di fascia bassa. Alcuni sono in vendita anche in Italia.
Attraverso i due server i ricercatori hanno potuto scoprire che il collegamento consente di ottenere informazioni sui dispositivi (modello, versione, numero di telefono e IMEI) e di inviare comandi in remoto ai dispositivi.
I comandi individuati dagli analisti sono i seguenti:
-push_commands
-push_apk
-push_link
-push_text
-push_client
-push_config
Insomma: ce n’è abbastanza perché chiunque abbia accesso a uno di questi server (al momento è bene ricordare che due sono sotto il controllo di Anubis Networks e uno dell’azienda che ha sviluppato il firmware) abbia la possibilità di rubare informazioni sensibili e controllare a suo piacimento oltre 3 milioni di smartphone.
Anubis Networks ha segnalato la vulnerabilità e, per il momento, non ha mosso accuse specifiche nei confronti dello sviluppatore Ragentek. Considerata la gravità della scoperta, però, si spera che la vicenda abbia un seguito.
Condividi l'articolo
Un e-book gratis per educare i dipendenti delle aziende
La Local Intelligence al centro della nuova sicurezza aziendale
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
