Modding Android e sicurezza: dalle ROM ad Xposed

malwareee

Oggi vi invitiamo ad una riflessione sul tema della sicurezza legata al modding dei prodotti Android, un argomento sottovalutato e spesso relegato a margine da un’informazione di settore approssimativa.

Recentemente, abbiamo parlato di Xposed Framework, definendolo come la novità più interessante del panorama attuale nel campo delle modifiche su Android ed a tutti gli effetti, anche da un’analisi più tecnica, emergono prepotentemente le grandi potenzialità della mod.

Dal lato pratico risulta evidente la semplicità con la quale possiamo implementare personalizzazioni radicali, con un rischio di malfunzionamenti estremamente ridotto ed una notevole varietà di scelte. Possiamo sbilanciarci nell’affermare che dopo aver schiacciato la produzione di nuove mod, Xposed potrebbe rappresentare un capitolo totalmente nuovo del modding, andando addirittura a segnare la fine dei custom firmware. Del resto la community di XDA ha segnato la via, inaugurando un appuntamento fisso con la rubrica Xposed Thuesday, oltre a dedicare moltissimi approfondimenti ai migliori moduli che quotidianamente vengono pubblicati dagli sviluppatori più riconosciuti della community.

Xposed Framework è sicuro?

Per rispondere a questa domanda è bene fare alcune considerazioni, facendo un raffronto tra le comuni operazioni di modding e ciò che implica la svolta imposta da Xposed.

Innanzi tutto, se con il modding classico esisteva un certo rapporto diretto tra difficoltà nell’ applicare una modifica e profondità nel sistema della stessa, ora il rapporto si è rovesciato, mettendoci nella condizione di personalizzare direttamente il cuore di Android, con una facilità a prova di principiante. L’unico vero requisito per Xposed, infatti, è  costituito dall’avere i privilegi di amministratore. Un dettaglio apparentemente di poco conto ma attorno al quale ruoterà l’annosa questione sicurezza.

Facciamo però un passo indietro a quella che è stata la situazione pre-Xposed ed immaginiamo di installare inconsapevolmente un’applicazione malevola. Fortunatamente disporremmo di alcuni controlli a step che metterebbero in guardia i più da un possibile attacco malware:  in fase di installazione dovremo garantire permessi totali, in secondo luogo ogni qualvolta il software vorrà compiere azioni dannose, dovrà nuovamente richiedere i privilegi di root ed anche qui saremo noi a dover confermare. Infine, anche nel caso di un rilascio automatico dei permessi da parte delle app di gestione, (avete presente il flag: “ricorda la mia scelta per sempre”? ) rimarrebbe comunque traccia delle azioni del presunto malware nel log dei permessi.

Pensiamo anche all’installazione di ROM. In questo caso abbiamo due importanti aspetti che più o meno consapevolmente ci proteggono. Il primo è la diffusione delle ROM stesse che risulta rilevante solo per i custom firmware più famosi, il secondo è la loro natura open source che in assoluto rappresenta la garanzia più affidabile di sicurezza in campo informatico.


Ora torniamo ad Xposed e vediamo ciò che, più o meno consapevolmente, mettiamo in atto installandolo. La prima operazione prevede di inserire nel sistema  due piccoli files i quali verranno eseguiti automaticamente ad ogni avvio. Le azioni successive avverranno nella maniera più silente. I moduli infatti, sfrutteranno la presenza di questi files per modificare o aggiungere parti di codice. Ottenuta l’ abilitazione manuale nella cosiddetta white list (elenco dei moduli installati) potranno agire nel livello più profondo del sistema, senza ulteriori check e potenzialmente potranno controllare anche la stessa concessione dei diritti di amministratore, tutto ciò senza che vi sia traccia alcuna delle azioni effettuate. Non verranno generati log e non verremo avvertiti di come stia operando il modulo.

Nel peggiore scenario, potremo trovarci nella situazione di abilitare un modulo apparentemente innocuo, ma che una volta attivo, scaricherà senza che possiamo notarlo, altre parti della sua applicazione. Potrà poi disabilitare il check della white list di Xposed installer, per cui, anche disinstallando il modulo originale, permarrà comunque parte di codice malevolo nel sistema. Infine il controllo pieno sulla nostra applicazione di gestione root gli permetterà di ottenere a nostra insaputa i privilegi più elevati,  ogni volta che sarà necessario. A questo punto il nostro modulo si è trasformato in un vero e proprio rootkit.

Come potete immaginare le conseguenze sarebbero devastanti, sia per quanto riguarda la nostra privacy totalmente compromessa, sia economicamente nell’eventualità che il malware sfrutti il nostro credito telefonico o carte associate a Google Wallet.

In conclusione

Fortunatamente la possibilità di incappare in una situazione simile è piuttosto remota ma il nostro obiettivo dichiarato è stato quello di fornirvi gli strumenti per una riflessione ponderata sulla questione sicurezza nel modding.

Nuovi moduli per Xposed vengono pubblicati quotidianamente qua e là in rete ed orientarsi tra le tante possibilità può essere difficile. Per questo vi raccomandiamo di installare solo ciò di cui conoscete la provenienza, ad esempio scartando tutti quei moduli che non sono presenti nel database sul sito ufficiale. In questi casi essere informati a sufficienza è fondamentale, per cui consultate più fonti e non fermatevi a ciò che talvolta viene passato per vero dall’informazione di settore. Visitate i forum per essere consigliati da utenti più esperti e tenete a mente che dalle community potrete avere sempre aiuti preziosi. Dal canto nostro abbiamo creato una discussione che racchiude i migliori moduli oltre a sezioni dedicate al modding per tutti i principali dispositivi, nelle quali ci sarà sempre qualcuno pronto ad aiutarvi. Non rinunciate al modding di Android, perdereste forse uno dei maggiori valori del robottino verde, ma utilizzatelo con coscienza e prudenza.

Con questo articolo non abbiamo voluto in alcun modo scoraggiare l’utilizzo di Xposed e di mod in generale, ma speriamo di avervi fatto riflettere su quanto sia importante fare estrema attenzione ad i rischi che a volte ci assumiamo con leggerezza, soprattutto ora che lo smartphone rappresenta la custodia della rete di connessioni che inevitabilmente ci siamo creati negli anni. Se vi va, fateci sapere cosa ne pensate nei commenti!

Via 1, 2

 

Commenti

Ti invitiamo ad usare toni consoni e di rimanere in tema all'argomento trattato, in caso contrario, il sistema automatico potrebbe oscurare il tuo messaggio e potrebbero trascorrere fino a 48h per la verifica ed un'eventuale autorizzazione.
TuttoAndroid si riserva comunque il diritto di allontanare le persone non adatte a tenere un comportamento corretto e rispettoso verso gli altri.

  • Luca

    a me la settimana scorsa hanno “rubato” 60€ dalla carta ricaricabile..google wallet mi ha confermato che hanno manomesso il mio account google..che sia xposed!!!? cancello subito e reinstallo da zero la rom

    • Matteo Virgilio

      Potrebbe essere, dipende da quali moduli avevi installato. In ogni caso in situazioni di questo genere assolutamente, reinstalla la rom e soprattutto rimuovi l’associazione della carta con google wallet.

      • Luca

        nulla di particolare avevo installato, gravity box e greenify

        • Matteo Virgilio

          allora certamente non è xposed ;)

  • Mock

    non si può mai dire che sia sicura, una cosa che và a modificare i file di sistema che ovviamente và a chiedere i privilegi di root :D

Top