Aggiornamenti recenti Aprile 17th, 2024 6:38 PM
Nov 21, 2016 Marco Schiaffino Minacce, News, RSS, Trojan, Vulnerabilità 0
Se le cose continueranno così, è probabile che dopo il caso Datagate seguito alle rivelazioni di Edward Snowden, la cronaca dovrà registrare anche un “Firmwaregate” in salsa cinese.
Stando a quanto riportato da Anubis Networks, infatti, il caso della backdoor nascosta nel firmware per Android sviluppato dall’azienda cinese Shanghai Adups Technology Co. Ltd non sarebbe un caso isolato.
I ricercatori della società di sicurezza hanno infatti individuato un sistema simile anche in un altro firmware per Android, distribuito da un’altra azienda cinese: Ragentek Group.
Gli analisti hanno individuato il software su un telefono BLU Studio G acquistato in un centro commerciale, che non è stato in alcun modo modificato una volta tirato fuori dalla scatola e nemmeno esposto in nessun modo a un possibile malware esterno.
Anche in questo caso, quindi, il problema si annida nel firmware preinstallato e, in particolare, in un sistema di aggiornamento Over-The-Air (OTA) che in pratica mantiene un collegamento aperto (e non protetto da crittografia) verso l’esterno, che consentirebbe di portare un attacco “Man in the Middle”.
Fino a questo punto, si potrebbe pensare a una semplice falla di sicurezza. Secondo i ricercatori, però, la questione è ben più grave.
Il sistema di aggiornamento, infatti, utilizza delle tecniche di offuscamento per nascondere la sua presenza all’utente e stabilisce un collegamento Internet con tre domini. Uno di questi, al momento della scoperta, era già registrato a nome di Ragentek Group.
Gli altri due, però, non erano registrati e Anubis Networks ha potuto utilizzarli per analizzare più in profondità il funzionamento dell’updater ed eseguire una scansione che gli ha permesso di individuare i modelli di dispositivi Android equipaggiati col firmware di Ragentek.
Si tratta di circa 3 milioni di dispositivi (55 modelli diversi) prodotti da BLU, Infinix Mobility, DOOGEE, LEAGOO, IKU Mobile, Beeline e XOLO. I ricercatori, però, non sono riusciti a identificare il 47% dei dispositivi raggiungibili.
Attraverso i due server i ricercatori hanno potuto scoprire che il collegamento consente di ottenere informazioni sui dispositivi (modello, versione, numero di telefono e IMEI) e di inviare comandi in remoto ai dispositivi.
I comandi individuati dagli analisti sono i seguenti:
-push_commands
-push_apk
-push_link
-push_text
-push_client
-push_config
Insomma: ce n’è abbastanza perché chiunque abbia accesso a uno di questi server (al momento è bene ricordare che due sono sotto il controllo di Anubis Networks e uno dell’azienda che ha sviluppato il firmware) abbia la possibilità di rubare informazioni sensibili e controllare a suo piacimento oltre 3 milioni di smartphone.
Anubis Networks ha segnalato la vulnerabilità e, per il momento, non ha mosso accuse specifiche nei confronti dello sviluppatore Ragentek. Considerata la gravità della scoperta, però, si spera che la vicenda abbia un seguito.
Apr 16, 2024 0
Apr 09, 2024 0
Mar 07, 2024 0
Mar 05, 2024 0
Apr 17, 2024 0
Apr 17, 2024 0
Apr 16, 2024 0
Apr 15, 2024 0
Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Apr 10, 2024 0
Il Patch Tuesday di aprile di Microsoft ha risolto ben 150...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 16, 2024 0
I ricercatori di Volexity hanno scoperto una serie di...Apr 15, 2024 0
Nella settimana che è andata dal 6 al 12 aprile...