Aggiornamenti recenti Giugno 1st, 2023 9:30 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Le vulnerabilità software non patchate spianano la strada ai ransomware
- Per Fortinet il 2023 sarà l’anno del cybercrime-as-a-service
- Discord: l’aggiornamento degli username crea problemi di privacy
- Tre aziende su quattro perdono i backup a causa del ransomware
- Scoperto COSMICENERGY, nuovo malware che colpisce le reti elettriche
Hoover: il keylogger invisibile per Android
Sfrutta il sensore di prossimità usato per i comandi Hover e può essere usato per registrare quali tasti vengono premuti sullo schermo.
Quando si introduce una nuova funzione negli smartphone, c’è sempre il rischio che possa trasformarsi in una falla di sicurezza. È quello che è successo con Hover, il sensore di prossimità che da qualche tempo viene integrato in molti terminali Android.
Nelle intenzioni, il sensore di prossimità permette di eseguire comandi muovendo le mani (o le dita) vicino allo schermo, ma senza toccarlo. Una funzione senza dubbio utile, ma che si presta anche ad altri scopi. Per esempio registrare tutto quello che viene digitato sullo schermo.
A mettere a punto un sistema che sfrutta questa tecnologia è stato un gruppo di ricercatori, tra cui Alessandro Mei della Sapienza di Roma, che in un’intervista a SecurityInfo.it ci ha spiegato come funziona esattamente questa tecnica di attacco.
“Tutti i sistemi di input, come il tocco dello schermo, generano dei log a cui accedono le app che in quel momento sono attive” spiega Mei. “Per intercettarli, in teoria, è sufficiente usare una tecnica di overlay, cioè fare in modo che l’app malevola si sovrapponga a quella legittima come se fosse una pellicola trasparente, che l’utente non vede”.
Questa tecnica, però, ha un difetto: se gli input vengono intercettati, non possono essere elaborati dall’applicazione legittima e, nel caso per esempio della scrittura di un’email, l’utente non vedrebbe comparire alcun testo sullo schermo.
Ed ecco dove entra in gioco Hover. “Il sensore di prossimità integrato nei telefoni di nuova generazione ha una discreta precisione, che consente di capire in quale posizione si trovano le dita” prosegue Mei. “Se si intercetta il log relativo alla posizione del dito immediatamente dopo che è stato toccato lo schermo, in pratica si può sapere con una buona approssimazione quale lettera è stata appena digitata”.
Mei, insieme ai colleghi Enis Ulqinaku, Luka Malisa, Julinda Stefa e Srdjan Capkun è partito da questa idea per mettere a punto Hoover (aspirapolvere), un software che sfrutta la funzione Hover per agire come keylogger.
“Hoover sfrutta la tecnica dell’overlay, ma in maniera intermittente, in modo che l’app legittima in uso riceva normalmente l’input della tastiera” ci spiega.
Lo schema di funzionamento di Hoover come descritto nella ricerca.
In pratica, non appena l’utente ha premuto il tasto desiderato, Hoover si attiva e accede al log generato dal sensore di prossimità, registrando la posizione del dito. Il tutto dura una frazione di secondo e, subito dopo, il keylogger torna in background. L’operazione si ripete per ogni pressione sullo schermo.
Ma quale livello di precisione ha questo sistema? Come spiega Alessandro Mei, è elevatissimo. “Se parliamo di una password, siamo intorno al 79%. Nel caso di un testo di senso compiuto, come un’email o un messaggio, l’uso di un sistema di correzione automatico consente di arrivare a oltre il 95%”.
Se il dispositivo utilizza un pennino, poi, l’accuratezza del sistema migliora ulteriormente. Stando ai dati dei ricercatori, infatti, in simili condizioni si arriva al 98%.
A rendere ancora più efficace questa tecnica di spionaggio c’è il fatto che il codice di Hoover può essere inserito in qualsiasi tipo di app e, per funzionare, non ha bisogno di permessi particolari al momento dell’installazione.
“La prima versione che abbiamo messo a punto sfruttava una tecnica di overlay basata sulle Alert Window, che hanno priorità su tutte le altre app e vengono usate ad esempio dal telefono per mostrare una chiamata in arrivo. Il loro utilizzo richiede però un permesso specifico” precisa Mei.
“In seguito, però, abbiamo messo a punto un’altra tecnica che permette di ottenere lo stesso risultato senza che siano necessari permessi particolari. Se un pirata informatico usasse questa tecnica, avrebbe solo bisogno che l’app possa accedere a Internet. E questo è un permesso che viene dato in automatico a tutte le app” conclude.
Per il momento Mei e gli altri ricercatori non hanno reso pubblico il Proof of Concept che hanno messo a punto, in attesa che Google possa rendere disponibile un aggiornamento che corregga la vulnerabilità.
Condividi l'articolo
Falla critica nei prodotti Symantec: aggiornare di corsa
Carbanak ora attacca hotel e ristoranti. Chiamandoli al telefono…
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le vulnerabilità software non patchate spianano la strada... Kaspersky ha pubblicato il suo Incident Response report,... -
Per Fortinet il 2023 sarà l’anno del... A margine del Security Day, il principale evento dedicato... -
Discord: l’aggiornamento degli username crea problemi... Lo scorso 3 maggio Discord ha annunciato... -
Tre aziende su quattro perdono i backup a causa del... Veeam ha pubblicato i risultato del 2023 Ransomware Trends... -
Scoperto COSMICENERGY, nuovo malware che colpisce le reti... Mandiant ha individuato un nuovo malware creato per colpire...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Discord: l’aggiornamento degli username crea problemi... Lo scorso 3 maggio Discord ha annunciato...
-
Scoperto COSMICENERGY, nuovo malware che colpisce le reti... Mandiant ha individuato un nuovo malware creato per colpire...
-
Le imprese scelgono fornitori esterni per gestire la... La carenza di esperti di sicurezza ha portato le imprese... -
Una vulnerabilità di Keepass rende accessibile la master... Il ricercatore di sicurezza vdohney ha individuato e... -
Microsoft e i fix inefficaci: trovata una vulnerabilità... La patch di Microsoft che avrebbe dovuto risolvere la...
Ransomware: la serie
No posts found.
