Gli hacker hanno ottenuto certificati di convalida per varie marche di hardware, il che potrebbe portare a seri problemi di sicurezza informatica. L’esperto di sicurezza di Google Lukasz Siewierski e il suo team hanno fatto la scoperta. Questi validatori di sicurezza vengono utilizzati per firmare le applicazioni Android dei produttori di smartphone e componenti per dimostrarne l’autenticità, differenziandole dal malware.
I certificati di LG, MediaTek, Samsung e Revoview sono stati utilizzati in modo irregolare dagli hacker. Tuttavia, il numero totale di validatori di sicurezza è molto più alto e non è stato identificato quali altre aziende abbiano avuto il loro dispositivo di sicurezza compromesso.
Un altro elemento che solleva interrogativi è come gli hacker abbiano ottenuto i certificati di sicurezza. La scommessa è che siano stati rubati attraverso fughe di notizie, intrusioni nei sistemi interni delle aziende o con la collaborazione di dipendenti disonesti.
Lukasz Siewierski avrebbe identificato i seguenti pacchetti in applicazioni dannose che utilizzano illegalmente i certificati:
- com.russian.signato.renewis
- com.sledsdffsjkh.Search
- com.android.power
- com.management.propaganda
- com.sec.android.musicplayer
- com.houla.quicken
- com.attd.da
- com.arlo.fappx
- com.metasploit.stage
- com.vantage.ectronic.cornmuni
Il rapporto dell’Android Vulnerability Partners Initiative (AVPI) rivela che i certificati possono essere utilizzati nei malware per camuffarli da app ufficiali e consentire loro di accedere ai dati delle vittime, raccogliendo informazioni, intercettando ed effettuando chiamate e installando e disinstallando le app da remoto.
L’aspetto più preoccupante è che l’hacker sarebbe in grado di avere lo stesso livello di controllo del proprietario del dispositivo, il che potrebbe portare ad attacchi specifici e dannosi.
Fortunatamente, il team guidato da Lukasz afferma di non aver rilevato la presenza di malware che utilizzano questi certificati nel Play Store, rallentando l’azione dei criminali. Il rapporto è stato pubblicato solo ora, dopo che le aziende sono state informate della fuga di notizie e hanno potuto rinnovare i validatori di sicurezza.
Nelle raccomandazioni, Google incoraggia le aziende a indagare sulle modalità di fuga dei certificati e a diminuire il numero di app firmate da questi ultimi per ridurre questo tipo di incidenti.
Se l’utente ha scaricato illegalmente una qualsiasi applicazione che utilizza i certificati, Google assicura che non subirà ulteriori attacchi, poiché i validatori non funzioneranno più. L’azienda raccomanda inoltre di scaricare software solo da fonti ufficiali, per evitare questo tipo di incidenti.
