Check Point Research ha riesaminato le ultime versioni di queste app mobile di alto profilo in cerca di vulnerabilità note per l’esecuzione del controllo da remoto risalenti a 2014, 2015 e 2016

Google Play Store: le app non sono ancora del tutto sicure

Check Point Research ha scoperto che alcune applicazioni di alto profilo presentano delle vulnerabilità sul Play Store di Google.

Comprensibilmente, la maggior parte degli utenti mobili si preoccupa delle vulnerabilità conosciute nel sistema operativo di base dei loro dispositivi, che possono dare ad un aggressore il controllo completo sui loro telefoni cellulari, e delle vulnerabilità zero-day che non sono state ancora affrontate dai fornitori di software. La percezione comune è che, non appena una vulnerabilità viene scoperta in un componente software, venga immediatamente corretta. Pertanto, mantenendo versioni aggiornate del sistema operativo mobile e di tutte le applicazioni, è possibile mantenere sicuro il dispositivo mobile. Tuttavia, Check Point Research mostra che anche le vulnerabilità corrette da tempo possono essere di importanza critica, poiché il codice obsoleto può trovare la sua strada anche nelle applicazioni più popolari.

Tipicamente, un’applicazione mobile utilizza decine di librerie native: componenti riutilizzabili, scritte in un linguaggio di basso livello come C. Questi componenti sono spesso derivati da progetti open-source. Quando in un progetto open-source viene trovata e corretta una vulnerabilità, i suoi manutentori non hanno in genere alcun controllo sulle librerie native che possono esserne influenzate, né sulle applicazioni che le utilizzano. È questo il modo in cui un’applicazione può continuare a utilizzare la versione obsoleta del codice anche anni dopo che la vulnerabilità è stata scoperta.

Per verificare questa ipotesi, Check Point Research ha analizzato i modelli noti associati alle versioni vulnerabili del codice open-source. Le tabelle seguenti riassumono i nostri risultati, a partire da giugno 2019, per tre vulnerabilità di gravità critica (Arbitrary Code Execution) a partire dal 2014, 2015 e 2016. L’elenco comprende centinaia di applicazioni Android popolari, tra cui Yahoo Browser, Facebook, Instagram e WeChat.

Queste le vulnerabilità principali:

  • È impossibile eseguire gli update e installare correttamente le patch
  • Gli hacker riescono ad acquisire i dati di localizzazione da Instagram, modificare i post su Facebook e leggere i messaggi su WeChat
  • I ricercatori affermano che la mancanza di azione di Google è un problema

È impossibile eseguire gli update

Comunemente si pensa aggiornando costantemente un’applicazione alla versione più recente, sarà possibile rendersi immuni agli attacchi degli hacker. Non è vero. I ricercatori di Check Point hanno dimostrato che le patch di alcune importanti applicazioni di alto profilo – Facebook, Instagram, WeChat – non erano presenti nel Play Store di Google. In uno studio della durata di un mese, i ricercatori di Check Point hanno analizzato le ultime versioni di alcune delle più famose applicazioni mobili per verificare l’esistenza di vulnerabilità precedentemente note. I risultati sono allarmanti.

Controllo amministrativo di Facebook, Instagram e WeChat da parte degli hacker

La ricerca dimostra che gli attori della minaccia possono ancora eseguire codice sulle ultime versioni delle applicazioni mobili presenti su Play Store, nonostante gli aggiornamenti. In breve, questi sono in grado di ottenere il controllo amministrativo delle applicazioni mobili studiate da Check Point Research. Teoricamente, gli attori della minaccia possono impossessarsi e modificare i post su Facebook, estrarre i dati di localizzazione da Instagram e leggere i messaggi SMS in WeChat.

Il processo di ricerca

In particolare, Check Point Research ha riesaminato le ultime versioni di queste app mobile di alto profilo in cerca di tre vulnerabilità note per l’esecuzione del controllo da remoto (RCE) risalenti al 2014, 2015 e 2016. Ad ogni vulnerabilità sono state assegnate due firme. Poi, Check Point Research ha utilizzato il proprio motore statico per esaminare centinaia di applicazioni mobili nel Play Store di Google per vedere se il vecchio codice vulnerabile era ancora presente nell’ultima versione dell’applicazione. Check Point Research ha trovato alcuni codici vulnerabili nelle ultime versioni di applicazioni mobili popolari, nonostante fosse stato affermato il contrario.

La staticità di Google è un problema

Questa ricerca fa sorgere un’altra domanda: perché Google non controlla gli aggiornamenti degli sviluppatori delle applicazioni? Oggi, Google offre semplicemente agli sviluppatori la possibilità di aggiornare le applicazioni. Per noi, questo è estremamente pericoloso e fuorviante per il grande pubblico. Riteniamo che Google dovrebbe obbligare gli sviluppatori di applicazioni mobili ad aggiornare le loro applicazioni, codice di terze parti incluso. In fondo, Google è parzialmente responsabile del monitoraggio dei malware e dei codici vulnerabile.

Divulgazione responsabile

Check Point Research ha informato sia le aziende delle applicazioni che Google delle vulnerabilità riscontrate.

Instagram ha notificato di aver confusamente creato due diverse patch per una delle vulnerabilità. È importante notare che la nostra ricerca si è concentrata sullo stato della sicurezza delle applicazioni presenti nel Play Store di Google e non su specifiche vulnerabilità di specifiche applicazioni.

Cosa dovrebbero fare gli utenti

Per ora, Check Point invita le persone a installare un’applicazione antivirus per monitorare le applicazioni vulnerabili presenti sul telefono. La speranza è che la nostra ricerca modifichi il processo e le procedure di rilevamento di Google.

A questo link è disponibile il blog post (in inglese) dello studio.