I siti web vulnerabili, si sa, sono da tempo bersaglio privilegiato degli autori di malware che possono usarli per distribuire codice nocivo sui client degli utenti.
Di solito i criminali informatici pubblicano codice exploit che permette di far leva sulle eventuali vulnerabilità di sicurezza irrisolte a livello client.
Detto in parole povere, se un utente non aggiorna periodicamente – in primis – sistema operativo e browser web è probabile che, un giorno o l’altro, possa essere vittima di un’aggressione, talvolta semplicemente collegandosi con una pagina web nociva.
Certo, gli attacchi drive-by – che non richiedono alcuna interazione da parte degli utenti – sono divenuti più difficoltosi da porre in essere rispetto al passato ma sono comunque tutt’oggi possibili, soprattutto quando gli utenti mancano di tenere aggiornato il software in uso (browser e plugin installati in primis).
I tecnici di Kaspersky hanno in queste ore rilevato l’ennesima campagna malware che sfrutta pagine web malevole per eseguire codice nocivo sui sistemi Windows degli utenti.
Ancora una volta, viene utilizzato un mix di codici exploit che bersagliano le vecchie versioni del plugin Flash Player. Proprio ieri, tra l’altro, Adobe ha confermato l’esistenza di una pericolosa vulnerabilità in tutte le più recenti versioni di Flash (vedere questo bollettino) confermando il rilascio di una patch correttiva nella giornata di domani 12 maggio.
Nell’attesa, e come indicazione di carattere generale, Flash può essere disinstallato o disabilitato: Flash Player è da scaricare oppure va disinstallato?.
La novità, però, è che il codice scoperto da Kaspersky in queste ore in alcuni siti web integra una routine capace di verificare quale client e, quindi, quale sistema operativo, l’utente sta usando.
Nel caso dei sistemi Windows, viene attaccato Flash ma se il sito malevolo viene visitato utilizzando Android, gli aggressori provano a sfruttare alcune vulnerabilità ben note.
Ad essere sfruttata sono le lacune di sicurezza da tempo scoperte nel componente WebView di Android, usato dal browser di default (non da Chrome) e da altre applicazioni di terze parti.
Sui dispositivi Android equipaggiati con una vecchia versione del sistema operativo (Android 4 e precedenti), potrebbe verificarsi l’esecuzione di codice dannoso semplicemente visitando la pagina web malevola.
Il problema è che gran parte dei vecchi dispositivi Android – oppure una larga fetta dei device di fascia medio-bassa – non sono aggiornati (i produttori non rilasciano alcun update ufficiale).
Per evitare di correre rischi, quindi, si dovrebbe valutare l’aggiornamento in proprio procedendo all’installazione di una ROM “custom”: Installare ROM Android e aggiornare all’ultima versione.