È stato battezzato Cloak and Dagger, vale a dire Cappa e Spada, l'ultimo attacco che interessa tutti i sistemi Android fino alla versione 7.1.2.

A scoprirlo sono stati i ricercatori del Georgia Institute of Technology, i quali sottolineano come sfruttando questo sistema sia possibile ottenere il controllo completo del dispositivo bersaglio, senza che l'utente nemmeno se ne accorga.

La particolarità di Cloak and Dagger sta nel fatto che esso non sfrutta una vulnerabilità del sistema. Invece fa un uso furbo e fraudolento di due permessi legittimi, richiesti da moltissime app legittime in circolazione.

I due permessi in questione sono SYSTEM_ALERT_WINDOW (altrimenti noto come draw on top) e BIND_ACCESSIBILITY_SERVICE (a11y).

Proposte di lettura:

Android colabrodo: 8.400 nuovi malware al giorno

Falla nei chip Wi-Fi, milioni di smartphone vulnerabili

Android è più usato di Windows

Tutte le novità di Android O

Il primo consente a un app di sovrapporsi al di sopra di tutte le altre; il secondo è stato invece progettato per gli utenti con problemi di vista, e consente loro di impartire i comandi usando la voce o utilizzare uno screeen reader per farsi leggere il contenuto dello schermo.

Un hacker può quindi sviluppare un'app apparentemente innocua e che richiede questi permessi - che non sono insoliti, e quindi un utente non si insospettirebbe se dovesse concederli - e sottoporla a Google Play.

Come tutti sanno, i sistemi di sicurezza che dovrebbero tenere le app pericolose fuori da Google Play non sempre funzionano come dovrebbero, quindi ci sono buone probabilità che l'hacker riesca nel suo intento e riesca a inserire nello store di Google il frutto del proprio lavoro.

A questo punto non resta che aspettare che gli utenti inizino a scaricare e installare l'app.

Al di là della parte innocua del suo comportamento, tramite i permessi acquisiti l'app potrebbe condurre un attacco di tipo clickjacking, registrare i tasti premuti, condurre campagne di phishing, installare silenziosamente un'app che dia accesso completo al dispositivo, sbloccare il telefono e condurre qualsiasi azione lasciando lo schermo spento.

In pratica, questo problema apre la porta a ransomware, adware e trojan.

Tutto ciò non è soltanto teoria: i ricercatori hanno creato un'app di prova e l'hanno caricata su Google Play. In poche ore è stata approvata e messa a disposizione, nonostante la funzionalità che le consente di scaricare ed eseguire codice arbitrario sul dispositivo non sia stata offuscata in alcun modo.

Il pericolo è quindi reale. Il guaio è che, dato che non c'è alcun bug da correggere, Google si trova in difficoltà a intervenire per risolvere il problema.

«Modificare una caratteristica è diverso dal risolvere un bug» spiega Yanick Fratantonio, primo autore dello studio che illustra il problema. «I progettisti del sistema dovranno ora pensare molto più attentamente al modo in cui caratteristiche apparentemente scorrelate possono interagire tra loro. Le varie funzioni non operano separatamente».

Allo stato attuale, tutte le versioni di Android Marshmallow in avanti assegnano il permesso SYSTEM_ALERT_WINDOW a tutte le app installate direttamente da Google Play. Questo comportamento cambierà in Android O.

In attesa di aggiornare alla nuova versione del sistema (che uscirà in autunno, ma che naturalmente non potrà essere installata sui dispositivi più vecchi), gli utenti possono tentare di mitigare il pericolo disabilitato il permesso SYSTEM_ALERT_WINDOW.

Per farlo, in Android 7.1.2, bisogna aprire la voce di menu accessibile dal percorso Impostazioni -> App -> Ingranaggio in alto -> Spostamento su altre app.

Naturalmente, è sempre bene verificare con attenzione la proveniente delle app che si intendono installare e controllare attentamente i permessi richiesti.

Qui sotto, i video dimostrativi realizzati dai ricercatori americani.