In occasione dell’ultima “RSA Conference” due ricercatori di TippingPoint – Derek Brown e Daniel Tijerina – illustrarono i risultati di una loro indagine che metteva in luce quanto sia tutt’oggi piuttosto semplice diffondere programmi maligni sui dispositivi Android o sugli iPhone “sbloccati” (jail-broken iPhones).
I due sviluppatori misero a punto una falsa applicazione che consentiva la visualizzazione di informazioni e previsioni meteorologiche: l’applicazione inviava le coordinate GPS del dispositivo utilizzato ad un server Internet il quale, a sua volta, provvedeva – facendo uso di tale dato – a convertire latitudine e longitudine nel “codice di avviamento postale” (CAP) dell’area geografica corrispondente. Tale CAP veniva poi inoltrato ad un servizio di previsioni meteo online.
All’apparenza, l’applicazione di test congeniata da TippingPoint sembrava semplicemente elaborare tali dati e proporli all’utente. In realtà, “dietro le quinte”, l’applicazione era potenzialmente in grado di prendere il controllo dello smartphone, leggere i messaggi di testo, il contenuto della rubrica ed avviare una “reverse connection” (ved. questo articolo) per abilitare l’accesso remoto al dispositivo.
Gli sviluppatori spiegarono che l’applicazione si sarebbe potuta anche collegare ad un server SMTP, per esempio, per inviare dati personali a terzi o spedire e-mail di spam.
Secondo Brown e Tijerina la loro applicazione sarebbe stata prelevata, nel giro di un mese, sui dispositivi iPhone ed Android, ben 8.000 volte. Circa 1.900 copie del programma sarebbero state installate in appena 24 ore, dal momento del rilascio. Ovviamente, l’applicazione non metteva in atto alcuna operazione maligna né sottraeva alcun dato: lo scopo della ricerca del duo di TippingPoint era solamente quello di mostrare quanto possa essere semplice, oggigiorno, infettare migliaia di dispositivi mobili con uno sforzo assai limitato.
Per la prima volta Google è quindi ricorso alla “Remote Application Removal“. Si tratta di una funzionalità, implementata in Android, che consente di rimuovere automaticamente specifiche applicazioni da tutti gli smartphone che montano il sistema operativo supportato dal colosso di Mountain View.
La richiesta di rimozione remota è arrivata proprio da TippingPoint: sebbene i ricercatori abbiano eliminato la loro applicazione di prova dall'”Android Market”, alcuni utenti continuano tutt’oggi ad averla installata sui propri dispositivi mobili. Google, facendo leva su “Remote Application Removal“, ha quindi provveduto ad attivare l’eliminazione del programma da tutti i dispositivi Android rimarcando comunque che l’applicazione non causava alcun danno.
La funzione “Remote Application Removal” è stata inizialmente concepita da Google per avere la possibilità di procedere alla rapida rimozione di eventuali malware augurandosi comunque di non doverla mai usare su vasta scala.
Android incorpora alcune interessanti funzionalità di sicurezza: il sistema operativo offre infatti un sofisticato meccanismo per la gestione dei privilegi che dà modo agli utenti di determinare quali applicazioni debbono avere il permesso di accedere alle risorse ed alle varie caratteristiche del telefono. Durante l’installazione, ciascun programma deve richiedere il permesso per accedere a componenti quali il modulo GPS, quello per la gestione degli SMS od il calendario.