Il ricercatore Thomas Cannon ha dimostrato di aver sviluppato un’applicazione capace di installare una backdoor sui telefoni Android senza che venga mostrata all’utente alcuna richiesta di autorizzazione e senza sfruttare vulnerabilità di sicurezza. Nel video pubblicato sul web da Cannon, si evince come l’applicazione imposti una shell remota sul dispositivo Android che diverrà accessibile dall’aggressore non appena esso sarà “bloccato” dall’utente. Ciò è possibile grazie all’utilizzo di un reverse proxy che permetterà al malintenzionato di eseguire qualunque comando sul sistema della vittima in qualunque parte del mondo si trovi. Basta, ovviamente, una connessione dati attiva.
Cannon tiene a precisare che la funzionalità che ha sfruttato non è propriamente una vulnerabilità di Android bensì una caratteristica introdotta dal momento in cui il sistema operativo è stato concepito. “Non si tratta di una novità“, ha aggiunto l’esperto, “dal momento che è stata presentata in occasione del Defcon 18 dal trio Tim Wyatt, David Luke Richardson e Anthony Lineberry“. Cannon è però voluto tornare sulla problematica ammettendo che il meccanismo dei permessi, su Android, è sicuramente una buona cosa ma, sempre secondo il ricercatore, le autorizzazioni richieste da ciascuna applicazione per funzionare non sono sufficienti a valutarne la bontà. E parla di “falso senso di sicurezza“.
Il ricercatore ha condotto test su tutte le principali versioni di Android, dalla 1.5 sino ad arrivare alla recentissima 4.0 “Ice Cream Sandwich” ottenendo risultati pressoché simili.
Nella sua analisi, Cannon ha citato anche uno studio pubblicato agli inizi di dicembre da alcuni studiosi (Michael Grace, Yajin Zhou, Zhi Wang e Xuxian Jiang). I quattro ricercatori hanno sviluppato uno strumento in grado di rilevare le défaillances delle applicazioni presenti sui dispositivi Android. Alcune app maligne, infatti, possono riuscire a richiamare altri programmi vulnerabili presenti sullo smartphone per effettuare operazioni potenzialmente dannose senza che venga esposta all’utente alcuna richiesta di autorizzazione.