Installer Hijacking, rischio malware su Android

I ricercatori di Palo Alto Networks hanno scoperto una vulnerabilità nel sistema operativo Google che potrebbe essere sfruttata per rubare dati sensibili dai dispositivi di quasi il 50% degli utenti. Il bug è presente in tutte le versioni di Android fino alla 4.4 esclusa e permette di sostituire un’app legittima con un malware, senza che la vittima si accorga di nulla. Google e i principali produttori sono stati informati, quindi dovrebbe essere rilasciata una patch nei prossimi giorni.

Alla vulnerabilità è stato assegnato il nome Android Installer Hijacking, in quanto risiede nel servizio di sistema che viene avviato durante l’installazione delle app. La tecnica utilizzata dai malintenzionati prevede la sostituzione di un’app legittima con un’app infetta. Android permette di installare un’app dal Google Play Store o tramite un file APK memorizzato sul dispositivo. In entrambi i casi, il sistema operativo usa il servizio PackageInstaller che, in alcune versioni, ha una vulnerabilità di tipo “Time of Check to Time of Use“.

Il processo di installazione prevede la lettura delle informazioni nel file APK, come nome, icona e permessi, che vengono mostrate in una schermata. Questa fase è detta “Time to Check”, perché l’utente verifica le informazioni e quindi tocca volontariamente il pulsante Installa. Nel momento in cui viene visualizzata la schermata, il file APK originale viene sostituito in background con un file APK infetto. Dato che PackageInstaller non verifica il file APK nella fase “Time to Use” (dopo il tocco su Installa), viene installato il malware.

L’app infetta può essere scaricata solo da store di terze parti. Le app installate dal Google Play Store vengono memorizzate in uno spazio protetto del file system e quindi non possono essere sovrascritte. Per questa ragione è consigliabile non effettuare il rooting del dispositivo. Palo Alto Network ha realizzato uno scanner che verifica l’esistenza della vulnerabilità.