Android 7.1.2 Nougat e precedenti, scoperta nuova vulnerabilità legata alle notifiche toast

Un gruppo di ricercatori che si occupano di sicurezza (Palo Alto Networks Unit 42) ha scoperto una nuova vulnerabilità nel sistema operativo Android che ha a che vedere con le notifiche toast. Prima che vi preoccupiate vi informiamo che la falla è già stata corretta con le patch di sicurezza di settembre – in arrivo su diversi smartphone – e che riguarda Android 7.1.2 Nougat e le versioni precedenti: Android 8.0 Oreo ne è infatti esente.

Questa vulnerabilità consente di creare uno pseudo-overlay per ingannare l’utente perché questo conceda pericolosi permessi; questo potrebbe dunque permettere al malintenzionato di leggere i contenuti sullo schermo, installare app e così via. La chiave sono le notifiche toast, che vengono sfruttate per aggirare la necessità di autorizzazioni overlay, in modo simile a quanto abbiamo visto qualche mese fa con il malware Cloak & Dagger.

Come funziona? Cercheremo di spiegarvelo brevemente: questo metodo utilizza le notifiche toast per creare una “sovrapposizione” sullo schermo, senza richiedere l’autorizzazione “SYSTEM_ALERT_WINDOW”, normalmente obbligatoria. In questo modo è possibile ricreare dei pulsanti, alla parvenza legittimi, per far accettare richieste all’ignaro utente e così concedere permessi di amministratore.

Android 7.1 Nougat aveva già provato ad arginare il problema mettendo delle limitazioni per le notifiche toast, ma a quanto pare queste sono state aggirate. Le patch di sicurezza di settembre, in rollout in questi giorni per i Google Pixel e Nexus supportati (e non solo) arrivano fortunatamente in nostro soccorso, correggendo la vulnerabilità anche su Android 7.1.2 Nougat e versioni precedenti.

Fonte

Commenti

Ti invitiamo ad usare toni consoni e di rimanere in tema all'argomento trattato, in caso contrario, il sistema automatico potrebbe oscurare il tuo messaggio e potrebbero trascorrere fino a 48h per la verifica ed un'eventuale autorizzazione.
TuttoAndroid si riserva comunque il diritto di allontanare le persone non adatte a tenere un comportamento corretto e rispettoso verso gli altri.

  • Skhammy

    Però… un florilegio di vulnerabilità, negli ultimi 3 giorni…

Top