Aggiornamenti recenti Gennaio 30th, 2026 5:19 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Hugging Face sfruttato per distribuire un trojan Android
- OpenSSL ha fixato 12 vulnerabilità scoperte da AISLE
- PackageGate: trovati sei bug zero-day nei package manager, ma NPM non interviene
- C’è Sandworm dietro l’attacco contro il settore energetico polacco
- Zendesk, sfruttato il sistema di ticketing per una campagna di spam massiva
Un altro firmware (cinese) per Android con backdoor di serie
Milioni di dispositivi low-cost inviano informazioni sensibili e consentono il controllo in remoto di smartphone e tablet.
Se le cose continueranno così, è probabile che dopo il caso Datagate seguito alle rivelazioni di Edward Snowden, la cronaca dovrà registrare anche un “Firmwaregate” in salsa cinese.
Stando a quanto riportato da Anubis Networks, infatti, il caso della backdoor nascosta nel firmware per Android sviluppato dall’azienda cinese Shanghai Adups Technology Co. Ltd non sarebbe un caso isolato.
I ricercatori della società di sicurezza hanno infatti individuato un sistema simile anche in un altro firmware per Android, distribuito da un’altra azienda cinese: Ragentek Group.
Gli analisti hanno individuato il software su un telefono BLU Studio G acquistato in un centro commerciale, che non è stato in alcun modo modificato una volta tirato fuori dalla scatola e nemmeno esposto in nessun modo a un possibile malware esterno.
Anche in questo caso, quindi, il problema si annida nel firmware preinstallato e, in particolare, in un sistema di aggiornamento Over-The-Air (OTA) che in pratica mantiene un collegamento aperto (e non protetto da crittografia) verso l’esterno, che consentirebbe di portare un attacco “Man in the Middle”.
Fino a questo punto, si potrebbe pensare a una semplice falla di sicurezza. Secondo i ricercatori, però, la questione è ben più grave.
Il sistema di aggiornamento, infatti, utilizza delle tecniche di offuscamento per nascondere la sua presenza all’utente e stabilisce un collegamento Internet con tre domini. Uno di questi, al momento della scoperta, era già registrato a nome di Ragentek Group.
Gli altri due, però, non erano registrati e Anubis Networks ha potuto utilizzarli per analizzare più in profondità il funzionamento dell’updater ed eseguire una scansione che gli ha permesso di individuare i modelli di dispositivi Android equipaggiati col firmware di Ragentek.
Si tratta di circa 3 milioni di dispositivi (55 modelli diversi) prodotti da BLU, Infinix Mobility, DOOGEE, LEAGOO, IKU Mobile, Beeline e XOLO. I ricercatori, però, non sono riusciti a identificare il 47% dei dispositivi raggiungibili.
I device su cui è installato il firmware incriminato sono tutti modelli di fascia bassa. Alcuni sono in vendita anche in Italia.
Attraverso i due server i ricercatori hanno potuto scoprire che il collegamento consente di ottenere informazioni sui dispositivi (modello, versione, numero di telefono e IMEI) e di inviare comandi in remoto ai dispositivi.
I comandi individuati dagli analisti sono i seguenti:
-push_commands
-push_apk
-push_link
-push_text
-push_client
-push_config
Insomma: ce n’è abbastanza perché chiunque abbia accesso a uno di questi server (al momento è bene ricordare che due sono sotto il controllo di Anubis Networks e uno dell’azienda che ha sviluppato il firmware) abbia la possibilità di rubare informazioni sensibili e controllare a suo piacimento oltre 3 milioni di smartphone.
Anubis Networks ha segnalato la vulnerabilità e, per il momento, non ha mosso accuse specifiche nei confronti dello sviluppatore Ragentek. Considerata la gravità della scoperta, però, si spera che la vicenda abbia un seguito.
Condividi l'articolo
Un e-book gratis per educare i dipendenti delle aziende
La Local Intelligence al centro della nuova sicurezza aziendale
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il 64% delle app di terze parti accede a dati sensibili... Dall’ultima ricerca di Reflectiz, “The State of... -
Microsoft smantella RedVDS, rete globale di... Microsoft ha annunciato di aver smantellato RedVDS, una... -
Allarme password aziendali deboli: più del 40% è... Gli utenti aziendali utilizzano ancora password deboli,... -
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un 2026... -
Kaspersky: così funziona il mercato del lavoro nel dark Il dark web non è più soltanto un luogo di scambio di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Hugging Face sfruttato per distribuire un trojan Android I ricercatori di BitDefender hanno scoperto una campagna... -
OpenSSL ha fixato 12 vulnerabilità scoperte da AISLE Pochi giorni fa OpenSSL ha rilasciato alcune patch per... -
PackageGate: trovati sei bug zero-day nei package manager,... La società di sicurezza Koi Security ha pubblicato una... -
C’è Sandworm dietro l’attacco contro il... I ricercatori di ESET hanno scoperto che il tentativo di... -
Zendesk, sfruttato il sistema di ticketing per una campagna... Zendesk, nota piattaforma di ticketing, sta venendo...
Ransomware: la serie
No posts found.