Google scopre società Israeliana che vende vulnerabilità Android Zero Day

Il team di Google, project Zero, afferma di aver individuato e scoperto come una falla ancora non nota e che questa sia stata venduta dall’NSO.

Il software perfetto non esiste, mettiamocelo in testa! Dietro lo sviluppo di un programma, applicazione o addirittura sistema operativo c’è sempre la mente umana e questa, volenti o nolenti, non è perfetta.

Va da se che le falle per eseguire azioni canoniche – non previste – possono essere molte o poche ma, non appena se ne scopre una, andrebbe subito segnalata per il bene comune della comunità che utilizza lo stesso software. E invece a volte non funziona così! Oggi vi riportiamo un esempio vero delle scorse ore in cui è stata non solo scoperta una vulnerabilità ma si è scoperto che questa è stata anche venduta a terzi!

Innanzi tutto stiamo parlando di una falla gravissima perché dal report è stata descritta come “prendi il controllo totale del dispositivo”. A rivelarlo è Maddie Stone che una della figure più informate del team cybersecurity che Google finanzia e ha il compito  ditrovare le falle presenti nel sistema operativo che lei stessa crea. Questa falla appartiene alle categoria Zero day che sarebbe, appunto, la lista delle vulnerabilità che ancora non sono state scovate tra l’immenso e le infinite stringhe e righe del sistema operativo.

Dicevamo quindi, l’OS è Android e il problema è che la falla risiede in una particolare porzione di codice la quale i produttori partner generalmente non customizzano. Tradotto, passa inosservato ai test che i produttori effettuano il più delle volte prima di confezionare le loro versioni.

La falla esisterebbe da molto tempo ed è stata sfruttata un’infinità di volte dai malintenzionati che la conoscono. A diffonderla è stata la NSO Group (iPhone 5c di San Bernardino vi dice qualcosa?) che non solo l’ha scovata ma l’ha anche venduta ad altrettanti team minori poco raccomandabili cui il loro business nero gira attorno alla compravendita di informazioni private.

Ma se la falla è facilmente presente negli smartphone Android, non è altrettanto facile attivarla. Infatti, per poterla utilizzare, bisogna o installare manualmente un’app che lavora in maniera invisibile (la quale prevede di aver fisicamente lo smartphone target in mano) oppure installare la stessa App in remoto ma, solo in questo caso, bisogna intercedere con un’altra falla, come fosse un’azione concatenata.

Insomma, attivare la falla per utilizzarla può sembrare difficile ma ci sono società nascoste che lo fanno per lavoro o addirittura vendono a terzi la possibilità di controllare una persona specifica pagando il servizio con monete virtuali come bitcoin.

Project Zero (il team di cui Stone è un componente) ha individuato la falla e ha compilato un correttivo risiedente nelle patch di sicurezza di ottobre che verranno distribuite questo mese come aggiornamento incrementale. Ovviamente non saranno distribuite solo agli smartphone di Big G – ovvero i Pixel – ma anche agli smartphone dei produttori partner.

Alla fine, come sempre è successo, la correzione arriverà. Ma il punto è che queste attività vanno bloccate alla fonte perché anche se vengono intercettate e bloccate, nel mentre i dati privati del destinatario preso di mira vengono carpite e usate per scopi illeciti. Ma d’altro canto, conoscendo l’informatica, si può attribuire la colpa ai produttori di software, come lo è Google in questo caso? Le risorse dovrebbero essere maggiori per contrastare la cybersicurezza criminale ma sappiamo che è tutt’altro che facile farlo.

Al momento nessun produttore si preoccupa di provare al 100% un sistema operativo o un’App per certificarla “malware-free”, ci vorrebbe tempo e il mercato non ha tutti questi tempi d’attesa. Diciamo che lo fanno altre società ma purtroppo non per scopi umanitari.

Android