Aggiornamenti recenti Marzo 21st, 2023 9:30 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Rilasciata Kali Purple, la distro Kali Linux per la defensive security
- I rischi di sicurezza del lavoro remoto preoccupano le aziende
- Gli attacchi BEC sono sempre più veloci
- Le minacce più diffuse in EMEA secondo Akamai
- NIS2: le imprese europee devono adattarsi a nuovi requisiti di sicurezza
Hoover: il keylogger invisibile per Android
Sfrutta il sensore di prossimità usato per i comandi Hover e può essere usato per registrare quali tasti vengono premuti sullo schermo.
Quando si introduce una nuova funzione negli smartphone, c’è sempre il rischio che possa trasformarsi in una falla di sicurezza. È quello che è successo con Hover, il sensore di prossimità che da qualche tempo viene integrato in molti terminali Android.
Nelle intenzioni, il sensore di prossimità permette di eseguire comandi muovendo le mani (o le dita) vicino allo schermo, ma senza toccarlo. Una funzione senza dubbio utile, ma che si presta anche ad altri scopi. Per esempio registrare tutto quello che viene digitato sullo schermo.
A mettere a punto un sistema che sfrutta questa tecnologia è stato un gruppo di ricercatori, tra cui Alessandro Mei della Sapienza di Roma, che in un’intervista a SecurityInfo.it ci ha spiegato come funziona esattamente questa tecnica di attacco.
“Tutti i sistemi di input, come il tocco dello schermo, generano dei log a cui accedono le app che in quel momento sono attive” spiega Mei. “Per intercettarli, in teoria, è sufficiente usare una tecnica di overlay, cioè fare in modo che l’app malevola si sovrapponga a quella legittima come se fosse una pellicola trasparente, che l’utente non vede”.
Questa tecnica, però, ha un difetto: se gli input vengono intercettati, non possono essere elaborati dall’applicazione legittima e, nel caso per esempio della scrittura di un’email, l’utente non vedrebbe comparire alcun testo sullo schermo.
Ed ecco dove entra in gioco Hover. “Il sensore di prossimità integrato nei telefoni di nuova generazione ha una discreta precisione, che consente di capire in quale posizione si trovano le dita” prosegue Mei. “Se si intercetta il log relativo alla posizione del dito immediatamente dopo che è stato toccato lo schermo, in pratica si può sapere con una buona approssimazione quale lettera è stata appena digitata”.
Mei, insieme ai colleghi Enis Ulqinaku, Luka Malisa, Julinda Stefa e Srdjan Capkun è partito da questa idea per mettere a punto Hoover (aspirapolvere), un software che sfrutta la funzione Hover per agire come keylogger.
“Hoover sfrutta la tecnica dell’overlay, ma in maniera intermittente, in modo che l’app legittima in uso riceva normalmente l’input della tastiera” ci spiega.
Lo schema di funzionamento di Hoover come descritto nella ricerca.
In pratica, non appena l’utente ha premuto il tasto desiderato, Hoover si attiva e accede al log generato dal sensore di prossimità, registrando la posizione del dito. Il tutto dura una frazione di secondo e, subito dopo, il keylogger torna in background. L’operazione si ripete per ogni pressione sullo schermo.
Ma quale livello di precisione ha questo sistema? Come spiega Alessandro Mei, è elevatissimo. “Se parliamo di una password, siamo intorno al 79%. Nel caso di un testo di senso compiuto, come un’email o un messaggio, l’uso di un sistema di correzione automatico consente di arrivare a oltre il 95%”.
Se il dispositivo utilizza un pennino, poi, l’accuratezza del sistema migliora ulteriormente. Stando ai dati dei ricercatori, infatti, in simili condizioni si arriva al 98%.
A rendere ancora più efficace questa tecnica di spionaggio c’è il fatto che il codice di Hoover può essere inserito in qualsiasi tipo di app e, per funzionare, non ha bisogno di permessi particolari al momento dell’installazione.
“La prima versione che abbiamo messo a punto sfruttava una tecnica di overlay basata sulle Alert Window, che hanno priorità su tutte le altre app e vengono usate ad esempio dal telefono per mostrare una chiamata in arrivo. Il loro utilizzo richiede però un permesso specifico” precisa Mei.
“In seguito, però, abbiamo messo a punto un’altra tecnica che permette di ottenere lo stesso risultato senza che siano necessari permessi particolari. Se un pirata informatico usasse questa tecnica, avrebbe solo bisogno che l’app possa accedere a Internet. E questo è un permesso che viene dato in automatico a tutte le app” conclude.
Per il momento Mei e gli altri ricercatori non hanno reso pubblico il Proof of Concept che hanno messo a punto, in attesa che Google possa rendere disponibile un aggiornamento che corregga la vulnerabilità.
Condividi l'articolo
Falla critica nei prodotti Symantec: aggiornare di corsa
Carbanak ora attacca hotel e ristoranti. Chiamandoli al telefono…
Articoli correlati
Altro in questa categoria
Approfondimenti
-
I rischi di sicurezza del lavoro remoto preoccupano le... L’affermazione del lavoro ibrido e remoto ha... -
Gli attacchi BEC sono sempre più veloci Il team Security Intelligence di Microsoft ha recentemente... -
Le minacce più diffuse in EMEA secondo Akamai Akamai ha pubblicato un nuovo report della serie State of... -
NIS2: le imprese europee devono adattarsi a nuovi requisiti... Nuove regolamentazioni all’orizzonte: dopo il GDPR,... -
Ogni riscatto ransomware pagato finanzia altri 9 attacchi Trend Micro ha diffuso i risultati della nuova ricerca What...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Rilasciata Kali Purple, la distro Kali Linux per la... Pochi giorni fa è stata rilasciata Kali Purple, la... -
Dispositivi SonicWall colpiti da un malware che resiste... Mandiant, insieme al team Product Security e Incident... -
Lo scorso anno sono stati divulgati 10 milioni di segreti... GitGuardian ha pubblicato il nuovo report The State of... -
Il 90% delle aziende non risponde alle minacce IT entro... Palo Alto Networks ha pubblicato il report State of... -
Ransomware sempre più veloce: meno di quattro giorni per... IBM Security ha organizzato nella cornice del Made di...
Ransomware: la serie
No posts found.
