Un gruppo di ricercatori che si occupano di sicurezza (Palo Alto Networks Unit 42) ha scoperto una nuova vulnerabilità nel sistema operativo Android che ha a che vedere con le notifiche toast. Prima che vi preoccupiate vi informiamo che la falla è già stata corretta con le patch di sicurezza di settembre – in arrivo su diversi smartphone – e che riguarda Android 7.1.2 Nougat e le versioni precedenti: Android 8.0 Oreo ne è infatti esente.

Questa vulnerabilità consente di creare uno pseudo-overlay per ingannare l’utente perché questo conceda pericolosi permessi; questo potrebbe dunque permettere al malintenzionato di leggere i contenuti sullo schermo, installare app e così via. La chiave sono le notifiche toast, che vengono sfruttate per aggirare la necessità di autorizzazioni overlay, in modo simile a quanto abbiamo visto qualche mese fa con il malware Cloak & Dagger.

Come funziona? Cercheremo di spiegarvelo brevemente: questo metodo utilizza le notifiche toast per creare una “sovrapposizione” sullo schermo, senza richiedere l’autorizzazione “SYSTEM_ALERT_WINDOW”, normalmente obbligatoria. In questo modo è possibile ricreare dei pulsanti, alla parvenza legittimi, per far accettare richieste all’ignaro utente e così concedere permessi di amministratore.

Android 7.1 Nougat aveva già provato ad arginare il problema mettendo delle limitazioni per le notifiche toast, ma a quanto pare queste sono state aggirate. Le patch di sicurezza di settembre, in rollout in questi giorni per i Google Pixel e Nexus supportati (e non solo) arrivano fortunatamente in nostro soccorso, correggendo la vulnerabilità anche su Android 7.1.2 Nougat e versioni precedenti.