Exploit Android permette di registrare lo schermo

Un recente report di Nokia ha confermato che Android è il sistema operativo preferito dai malintenzionati e non solo perché è il più diffuso nel settore mobile. Alcune funzionalità incluse da Google possono essere sfruttate per compiere azioni molto pericolose, come la cattura dei contenuti mostrati sullo schermo e la registrazione dell’audio.

L’exploit scoperto da MWR InfoSecurity usa il framework MediaProjection per mostrare un’interfaccia fasulla sovrapposta a quella originaria. Prima di Android 5.0 tale operazione richiedeva i privilegi di root, ma a partire da Lollipop gli sviluppatori possono utilizzare il servizio senza permessi di root. Un’applicazione deve solo richiedere l’accesso tramite un Intent per visualizzare un pop-up che avvisa l’utente della necessità di effettuare lo screen capture.

Un malintenzionato potrebbe quindi ingannare l’utente, mostrando un’interfaccia sovrapposta a quella originaria e un messaggio arbitrario. Quando viene concesso il permesso, l’app fasulla inizia a registrare tutto ciò che viene visualizzato sullo schermo. Le versioni recenti di Android non rilevano pop-up parzialmente oscurati. Sarebbe anche possibile eludere questo semplice controllo con una tecnica di tapjacking. In pratica, la cattura dello schermo avviene senza intervento dell’utente.

Google ha rilasciato una patch solo per Android 8.0 Oreo installato sullo 0,3% dei dispositivi. Tutti gli altri con Lollipop, Marshmallow e Nougat (il 78,7% del totale) sono a rischio. Non è chiaro se e quando verrà distribuito un aggiornamento per le vecchie versioni del sistema operativo. L’unico modo per rilevare l’accesso al servizio MediaProjection è l’icona Cast che dovrebbe essere mostrata nella barra delle notifiche.