Per raggiungere il nostro obiettivo non ci servono file: ecco Rozena, il malware “fileless”


Un nuovo approccio per una vecchia tecnica

Bochum (Germania), 3 luglio 2018

I malware privi di file fanno leva su vulnerabilità per avviare comandi malevoli o lanciare script direttamente dalla memoria utilizzando strumenti di sistema legittimi come Windows PowerShell. Code Red e SQL Slammer sono stati pionieri dei malware “fileless”, il cui utilizzo risale all’inizio del 2000. Un approccio che sta nuovamente prendendo piede.

Nella prima metà dell’anno il termine attacco “fileless” è stato sulla bocca di tutti all’interno della comunità di Cyber Security. È una tecnica di attacco nota da quasi vent’anni, che non prevede lo scaricamento o il deposito di file malevoli sul disco fisso per eseguire comandi o script illeciti, bensì li lancia direttamente dalla memoria sfruttando strumenti legittimi.

Tuttavia, oggi è necessario differenziare: il termine “fileless” può essere una denominazione impropria se pensiamo che ci sono attacchi che possono coinvolgere la presenza di file nel computer, come un allegato di una mail di spam. Una volta eseguito, il malware potrebbe comunque salvare un file nel disco e successivamente usare la tecnica “fileless” per raccogliere informazioni sul sistema e diffondere l’infezione attraverso la rete tramite exploit o iniezioni di codice che lanciano comandi illeciti  direttamente dalla memoria tramite strumenti di sistema legittimi. Nel solo 2017, il 13% dei malware che abbiamo registrato si avvaleva di PowerShell per compromettere i sistemi.

Da quando PowerShell e Windows Management Instrumentation sono stati integrati come strumenti del sistema operativo Windows, se ne abusa largamente per attività fraudolente. Un noto malware che utilizza PowerShell per scaricare ed eseguire codici malevoli è il downloader Emotet.

Rozena

Ci sono anche vecchi malware mutati in attacchi “fileless”. Questi malware hanno l’obiettivo di essere più efficienti nell’infettare le macchine e di evitare di essere localizzati: un esempio è Rozena.

Rozena è un malware che crea una backdoor in grado di stabilire una connessione shell remota con l’autore. Una connessione andata a buon fine è preoccupante in termini di sicurezza, sia per la macchina infetta, sia per gli altri comuputer collegati alla stessa rete.

Visto per la prima volta nel 2015 Rozena ha fatto il suo ritorno nel marzo 2018. Il nuovo Rozena, come la sua versione precedente, mira ancora al sistema operativo Microsoft Windows, ma ciò che fa la differenza è il suo adattamento alla tecnica “fileless” e allo sfruttamento di script PowerShell per raggiungere il proprio obiettivo.

Nello specifico, dato che una delle funzioni standard di Windows è quella di non mostrare l’estensione dei file, è semplice per l’autore del malware camuffarlo in modo da farlo apparire innocuo. Rozena ad esempio usa l’icona di Microsoft Word ma è in realtà un eseguibile di Windows.  Essere infettati con un malware che può letteralmente fare quello che vuole con macchina compromessa, i documenti archiviativi e la rete a cui è collegata è terrificante, per il congruo numero di minacce che trovano accesso al sistema e per l’alto potenziale dannoso (l’analisi tecnica completa è reperibile sul Blog di G DATA). Ora che Rozena segue la via del “fileless” per insediarsi ed eseguire i propri codici, la sua attività malevola si intensifica.

Secondo un recente studio condotto da Barkly in collaborazione con l’Istituto Ponemon, che ha visto coinvolti 665 responsabili IT, è emerso che gli attacchi “fileless” sono 10 volte più efficaci rispetto ai “file-based”.

Prevenzione

Il malware si adatta con il cambiare del mondo, non stupisce quindi l’uso di strumenti legittimi integrati per sferrare attacchi lasciando gli utenti indifesi. Fortunatamente però c’è ancora un modo per proteggersi da questi tipi di attacchi:

  1. Mantenere i sistemi operativi e i programmi sempre aggiornati, inclusa l’installazione delle patch di sicurezza. Questo perché è noto come i sistemi più datati abbiano molte vulnerabilità che possono essere sfruttate per attacchi informatici.
  2. È fortemente sconsigliato scaricare, salvare ed eseguire file di provenienza ignota. Gli autori di malware usano ancora i canali tradizionali per spingere gli utenti ad eseguire file malevoli. Se disabilitare gli strumenti di sistema, soprattutto PowerShell non è un’opzione, si può configurare PowerShell in modo da prevenire l’esecuzione di script sospetti.
  3. Impostare la modalità Constrained Language di PowerShell – questo limiterà le capacità di PowerShell, rimuovendo funzionalità avanzate come chiamate .Net e Windows Api, la maggior parte degli script PowerShell infatti si avvalgono di questi parametri e metodi.
  4. Abbinare PowerShell con AppLocker – questo impedirà l’esecuzione di binari non autorizzati.

Continua a leggere

Android – primo trimestre 2018: una nuova app dannosa ogni 10 secondi!


G DATA teme che gli ultimi dati sul volume di malware riscontrato ai danni di Android siano il preludio di una crescente minaccia.

La sicurezza IT e Android potrebbero non escludersi più a vicenda nel 2018. Google ha già gettato le basi e vuole consegnare più velocemente gli aggiornamenti importanti agli utenti, in modo da colmare tempestivamente eventuali falle. Che sia necessario agire, a fronte del palesarsi dello spettro di una catastrofe in ambito mobile è ormai chiaro: dell’oltre 70% di utenti di dispositivi mobili che hanno preferito device Android in Italia (fonte Statcounter), solo una minima parte (6%) dispone della nuova release Oreo mentre oltre la metà degi consumatori si avvale di tablet o smartphone dotati di sistema operativo obsoleto. Gli esperti di sicurezza di G DATA vedono negli attuali volumi di malware indicatori di una minaccia più ampia. Nel solo primo trimestre, gli analisti hanno rilevato 846.916 nuovi malware per Android. Circa il 12 percento in più rispetto al primo trimestre del 2017.

Una media di 9.411 nuovi malware al giorno ai danni di Android, una nuova app dannosa ogni 10 secondi. Questi i risultati delle analisi del primo trimestre 2018. Anno per cui gli analisti G DATA prevedono circa 3,4 milioni di nuovi malware. Gli ultimi dati mostrano una crescente minaccia per gli utenti di dispositivi mobili. I criminali informatici sanno fin troppo bene che questi apparecchi tuttofare sono da tempo utilizzati per svolgere tutte le attività digitali, dallo shopping all’online-banking. Gli sviluppatori di Android fanno ogni sforzo per dotare tutti gli smartphone e i tablet di aggiornamenti in modo più efficace e tempestivo, essendo ormai chiaro che i dispositivi oggi all’avanguardia sono meno esposti agli attacchi poiché sono state chiuse numerose falle di sicurezza.

Google non certifica gli smartphone con Android obsoleto

Google non certifica più i dispositivi dotati di sistema operativo Android 7 (“Nougat”: in Italia in uso sul 36% dei dispositivi, ma uno su cinque monta ancora la versione 6 Marshmallow). La decisione non sorprende, poiché con “Project Treble” e altre misure la società sta già adottando strategie volte a convincere i produttori a dotare gli smartphone dell’ultima versione di Android in tempo utile.

Per i produttori, è molto importante che i loro dispositivi siano certificati. Questo è infatti l’unico modo per poter accedere ai Google Mobile Services, che includono tutti i servizi e le app firmate Google, incluso il Playstore. I requisiti richiesti ai produttori al fine di poter ottenere detta certificazione sono stabiliti nel cosiddetto “documento di definizione della compatibilità“.  Oggi smartphone e tablet devono essere forniti con Android 8. Ciò garantisce che “Project Treble” sia implementato su tutti i nuovi dispositivi. Ma i produttori hanno già trovato scappatoie? Questo è presumibile da un recente rapporto dei ricercatori dei Security Research Labs.

False informazioni sugli aggiornamenti di Android

Gli esperti di sicurezza criticano i produttori di smartphone perché a parer loro ingannano i clienti in merito agli aggiornamenti dei loro dispositivi e del sistema operativo Android installato. Risultano coinvolti oltre 1.000 smartphone, inclusi i dispositivi di noti produttori di fascia bassa e media. All’utente viene comunicato che il dispositivo ha ricevuto tutti gli aggiornamenti di sicurezza disponibili ed è aggiornato, quando, in realtà, non vi è traccia di alcun aggiornamento.

In diversi casi i produttori arrivano addirittura a modificare la data dell’ultimo aggiornamento senza offrire effettivamente nuovi contenuti. Gli utenti non se ne accorgono e ritengono che il loro dispositivo sia aggiornato e quindi sicuro.

L’assenza di aggiornamenti tuttavia non ha sempre luogo in malafede. Per alcuni produttori problemi di natura tecnica possono essere alla base di un processo di aggiornamento malfunzionante. Anche i processori integrati nei dispositivi sono critici: gli smartphone con chip Samsung, ad esempio, sono molto meno interessati da tale problematica rispetto ai dispositivi con processori di Mediatek. Il motivo: i produttori di smartphone si affidano ai fornitori di processori per le patch. Se i produttori di chip non consegnano, i fornitori dei dispositivi non possono pubblicare l’aggiornamento.

Il ruolo delle associazioni dei consumatori

In fase di acquisto, la questione degli aggiornamenti è foriera di confusione sia per gli utenti finali sia per i commercianti. Nel caso di smartphone di fascia bassa, a fronte di un prezzo ridotto gli acquirenti sono spesso pronti a scendere a compromessi con la qualità della fotocamera ad esempio. Tale informazione può essere facilmente reperita nella descrizione del prodotto. Ma non c’è modo di vedere quando, se o con quale frequenza il dispositivo sarà aggiornato. La maggior parte delle volte, c’è solo un riferimento alla versione del sistema operativo installato di fabbrica. Una carenza di informazioni che mette a rischio i consumatori.

A livello internazionale sono diverse le associazioni dei consumabori che anelano un cambiamento. L’anno scorso, ad esempio, l’associazione dei consumatori della Renania settentrionale – Vestfalia ha citato in giudizio un rivenditore di elettronica che offriva uno smartphone per 99 €. Già al momento della vendita, il dispositivo mostrava gravi vulnerabilità, era infatti equipaggiato con la versione 4.4 del sistema operativo Android obsoleto (“Kitkat”), introdotta per la prima volta sul mercato nel 2013.

Nonostante le notifiche dello stesso Ufficio Federale per la Sicurezza delle Informazioni (BSI) tedesco del 2016, il produttore del dispositivo non ha mai fornito alcun aggiornamento. Nonostante ci fossero gli estremi per denunciare Google quale sviluppatore di Android o il produttore del dispositivo mobile, l’associazione a preferito chiamare in giudizio il rivenditore, che, quale parte contrattuale immediata per i consumatori, ha il dovere di informare l’acquirente della presenza di falle di sicurezza non colmate (e incolmabili) nel nuovo dispositivo.

Continua a leggere

Record drammatico negativo: circa 8,4 milioni di nuovi malware identificati nel 2017


I PC sono costantemente sotto l’assedio di malware da respingere.

Bochum (Germania). Circa 8,4 milioni, questo il bilancio dei nuovi tipi di malware per computer, o 16 diversi campioni di software dannoso al minuto nel 2017 – un nuovo record negativo. Ralf Benzmüller, portavoce esecutivo dei G DATA SecurityLabs, analizza e valuta la situazione in un articolo dettagliato.

Se da un lato è indubbio che i virus, worm e trojan presenti sul web siano numerosissimi, il volume di nuovi software dannosi prodotti risulta allarmante. All’inizio del 2017 i ricercatori G DATA avevano ipotizzato un totale di nuovi campioni di malware di circa 7,41 milioni. I nuovi tipi di applicazioni malevoli rilevate nel corso dell’intero anno ammontano esattamente a 8.400.058 superando di gran lunga, negativamente, le aspettative.

“La minaccia più eclatante e seria all’integrità dei computer è il ransomware, categoria di malware rivelatasi particolarmente produttiva nel 2017, e questo non cambierà nel 2018”, così Ralf Benzmüller, portavoce esecutivo dei G DATA Security Labs, commenta quanto emerso dalle rilevazioni. Ciò nonostante, con un posizionamento di singoli campioni di ransomware al 30°, 163° e 194° posto della classifica Malware Top 250 stilata dai ricercatori G DATA, questa tipologia di malware svolge un ruolo ancora marginale in termini di attacchi totali ai danni dei PC su scala globale.

“Il fatto che i ransomware risultino notevolmente inferiori ad altre categorie di malware e applicazioni indesiderate (PUP / adware) tra cui i ‘miner’ di criptovalute, che hanno preso il sopravvento nell’ultimo trimestre 2017, non significa che non ci si debba proteggere”, aggiunge Benzmüller, che non manca di annoverare alcune misure essenziali: aggiornare sistemi operativi e applicazioni in uso, e dotarsi di una soluzione per la sicurezza IT che protegga l’utente in modo proattivo contro le minacce.

Nel suo articolo “Malware Figures 2017” Ralf Benzmüller annovera le modalità con cui vengono condotte le ricerche dei G DATA Security Labs e riassume come viene calcolata l’incidenza di singoli malware, spiega altresì i trend che ne derivano e quali categorie di malware o PUP (potentially unwanted programs) sono preferite dai cybercriminali.

Continua a leggere

Passepartout umani: perché l’ingegneria sociale è un fattore di rischio da non sottovalutare


Oltre al crescente numero di minacce informatiche generalizzate i cybercriminali si avvalgono di tecniche mirate per manipolare gli impiegati e carpire i dati di accesso alla rete aziendale.

Bochum (Germania) – Nel 2017 gli analisti G DATA hanno rilevato 16 nuovi campioni di malware al minuto. Se da un lato bisogna premunirsi contro i rischi legati alle infezioni da malware, è anche oltremodo necessario prestare attenzione alla componente umana. I criminali su internet utilizzano perfidi trucchi per accedere in modo mirato a informazioni confidenziali manipolando i membri dello staff dell’azienda – un’attività definita in gergo “ingegneria sociale”. Ecco i fattori principali a cui G DATA individua i fattori che gli IT manager non dovrebbero sottovalutare.

Le organizzazioni tendono a circoscrivere le misure di sicurezza IT alla protezione contro i vettori di attacco più comuni, che spaziano dai malware quali ransomware, trojan e virus, fino alla manipolazione delle configurazioni di sistema o attacchi DDoS. Tuttavia esiste una vulnerabilità spesso sottovalutata dagli IT manager: l’ingegneria sociale.

Impiegati trasformati in marionette

Ormai sono passati i tempi in cui il dipartimento delle risorse umane riceveva curriculum incomprensibili da parte di finti candidati. Errori di grammatica grossolani e refusi erano sufficienti per distinguere comunicazioni fasulle/pericolose da quelle legittime. Superata la curva di apprendimento, oggi i cybercriminali si preparano molto più dettagliatamente. Secondo i rilevamenti contenuti nel rapporto Social Engineering Attack Framework un attacco mirato di questo tipo è composto da addirittura sei fasi:

  • Fase 1: pianificazione dell’attacco
  • Fase 2: raccolta delle informazioni utili
  • Fase 3: preparazione
  • Fase 4: instaurazione di un rapporto con un impiegato dell’azienda
  • Fase 5: manipolazione del contatto
  • Fase 6: resoconto

Ne è un esempio il responsabile della ricerca del personale, che spesso si avvale delle piattaforme social per identificare i candidati ideali. In questo caso si parla di “scouting” (reclutamento). Una volta individuato un candidato in linea con il profilo richiesto, si prende contatto con la persona. I criminali sono a conoscenza di questa procedura di ricerca e creano falsi profili attraverso cui si propongono al manager delle risorse umane al momento opportuno. Il perpetratore mira a carpire informazioni sull’addetto HR, creando un rapporto di fiducia con la controparte, per poi inviargli una lettera motivazionale facendo riferimento allo scambio avvenuto sui social. Questo metodo risulta molto più efficace rispetto all’invio di una candidatura “spontanea” standardizzata. La comunicazione a posteriori della presa di contatto tramite i social consta di norma di un testo conciso, e di un allegato PDF con fotografia personale. Una volta aperto l’allegato, il malware viene installato sul computer. Il malvivente è riuscito a manipolare il membro dello staff e a fargli aprire il file infetto. Si potrebbe trattare di un ransomware che cifra file sensibili e che richiede un riscatto per decriptarli come di un trojan che registra la sequenza di tasti premuti dall’impiegato in fase di accesso alla rete aziendale (login e password) per poi inviarli al criminale.

L’ingegneria sociale causa ingenti danni finanziari

L’ingegneria sociale è utilizzata in tutti i casi in cui le persone possono essere manipolate e una buona metodologia può essere molto remunerativa per i cybercriminali, che guadagnano così accesso a informazioni di valore sullo staff, dati di accesso alle risorse di rete o a file confidenziali che svelerebbero segreti industriali. A tal proposito il Clusit annovera nel suo recente rapporto che nel 2017 il Cyber Espionage, cui vanno ricondotti anche i furti di proprietà intellettuale, è cresciuto su scala globale del 46. Dal momento che questi metodi di attacco stanno diventando sempre più popolari, ci si aspetta un ulteriore incremento dei danni subiti dalle aziende. “Oltre a dotarsi di soluzioni di sicurezza in grado di riconoscere proattivamente attività di sistema illegittime come quelle annoverate, condurre campagne di sensibilizzazione e corsi di formazione dello staff risulta essere un’arma vincente contro questo tipo di attacchi” conferma Giulio Vada, Country Manager di G DATA Italia.

IT manager all’erta

Innanzitutto, gli IT manager dovrebbero accertarsi del fatto che i membri del proprio staff siano a conoscenza delle tecniche di ingegneria sociale. Il team di G DATA Italia offre corsi di formazione che aiutano gli impiegati ad individuare ed evitare questa tipologia di minacce. Lo staff apprende che le email vanno lette in modo critico, che dati sensibili non devono assolutamente essere archiviati o divulgati tramite telefono e che non vanno aperti link che puntao a pagine in cui si richiede un login. Un altro strumento altrettanto importante è la protezione anti-phishing fornita dai più moderni software di sicurezza e in grado di sventare molti attacchi sul nascere. Queste suite aiutano significativamente lo staff consentendo un’elaborazione più rapida di email realmente importanti per il lavoro quotidiano. In altri termini il connubio tra formazione e soluzioni di sicurezza minimizza il rischio che un qualsiasi impiegato diventi vittima di un attacco dovuto all’ingegneria sociale provocando eventuali danni finanziari.

 

*.*

Continua a leggere

Add-on piratato di WordPress trasforma siti in dispenser di malware


Gli analisti G DATA analizzano una backdoor che viene diffusa con moderne tecniche SEO.

Bochum (Germania) – Tra gli strumenti utilizzati nella creazione di siti web, WordPress è sicuramente uno dei CMS (content management system) più noti e impiegati. Le numerose estensioni disponibili permettono di creare pagine web facilmente pur non disponendo di buone capacità di programmazione. È comunque importante prestare attenzione nello scegliere i plugin.

L’idea di creare il proprio sito internet è associata ad un’ingente quantità di lavoro manuale. La strumentazione moderna lo rende invece un gioco da ragazzi –innumerevoli i layout già “pronti all’uso” nei quali bisogna solo aggiungere testo e immagini. Molte estensioni per WordPress sono gratuite, mentre altre sono a pagamento. Un webmaster attento ai costi cerca di evitare al massimo questo genere di spese. Nel caso evidenziato in questo report, i criminali mirano a colpire i numerosi utenti WordPress che desiderano avvalersi di template gratuiti, ecco come.

Trappola gratuita?

Alcune tipologie di temi a pagamento sono molto più utilizzate di altre e non stupisce che sul web se ne possano trovare anche di piratate. Parte di queste copie contraffatte vengono fornite con “add-on” nascosti che possono creare non pochi problemi al webmaster poiché in grado di trasformare le pagine web in distributori di malware, ovviamente del tutto all’oscuro dell’amministratore del sito.

Ottimizzazione dei motori di ricerca aka SEO

Chiunque sia in possesso di un sito web desidera essere il primo sui motori di ricerca. I risultati presentati su Google si basano su diversi criteri, uno dei quali, oltre all’impiego delle giuste keyword, è la frequenza con cui la pagina valutata viene menzionata da altre pagine. Alcune società assumono uno o più dipendenti con il compito di applicare la miglior strategia per far apparire il sito il più in alto possibile nei risultati delle ricerche. Questa attività è chiamata ottimizzazione dei motori di ricerca (Search Engine Optimization – SEO). Strategie adottate anche dai cybercriminali, esistono infatti alcuni template WordPress contraffatti che integrano tecniche SEO per incrementare la distribuzione di codice malevolo, come l’ultima evoluzione della backdoor Wp-Vcd, che una volta installata su WordPress crea automaticamente un account amministratore nascosto che consente all’hacker di accedere alla piattaforma quando più gli aggrada e, per esempio, postare malware sul sito compromesso a propria discrezione.

In primo acchito la backdoor è stata riscontrata scaricando il tema ExProduct v1.0.7 dal sito “hxxp://downloadfreethemes.download” che ospita numerosissimi template WordPress (al momento dell’analisi 32.200) piratati. Ulteriori analisi hanno rivelato quanto l’autore fosse proattivo nel posizionare al meglio il template sui motori di ricerca e quanto l’algoritmo di Google sia passibile di raggiro.

Ulteriori informazioni sull’analisi

Ulteriori informazioni e dettagli tecnici su diffusione e funzionamento della backdoor sono contenute nel whitepaper reperibile in lingua inglese al link https://file.gdatasoftware.com/web/en/documents/whitepaper/G_Data_Whitepaper_Analysis_Wp_vcd.pdf

Uomo avvisato mezzo salvato

Fino a quando le persone riporranno cieca fiducia in qualunque sito web venga loro proposto, saranno potenziali vittime e ciò non cambierà in tempi brevi. Agli occhi di moltissime persone i servizi di ricerca e di posta elettronica che Google eroga da anni sono estremamente affidabili. I criminali lo sanno bene e sfruttano la situazione, riuscendo a posizionare ottimamente persino applicazioni quali “paypal generator v1.0” o “Facebook hacker v2.3 updated” nei risultati dei motori di ricerca. Il team GDATA raccomanda di prestare attenzione ai contenuti per evitare di cadere nel mirino dei criminali online.

Continua a leggere

Un 2017 di fuoco: 343 nuovi malware per Android all’ora!


Con un totale di oltre tre milioni di nuovi malware per Android anche il 2017 ha mostrato il suo lato oscuro. Nel solo quarto trimestre del 2017 i G DATA Security Labs ne hanno rilevati 744.065, ossia 8225 nuovi file nocivi per i sistemi operativi Android al giorno. Nonostante si sia riscontrato un minimo calo del tasso di crescita totale anno su anno rispetto al 2016 (3.246.284), non si può dire che le minacce a cui siamo esposti siano meno elevate. Il recente caso di Meltdown e Spectre ha nuovamente evidenziato quanto sia necessario riconsiderare la sicurezza dei dispositivi mobili. Con “Project Treble”, una funzione disponibile con la più recente versione di Android, Google tenta di accelerare la distribuzione degli aggiornamenti agli utenti. Sarà la soluzione?

700mila applicazioni malevole individuate su Google Play

Nel corso dello scorso anno, Google e i produttori di soluzioni AV hanno rilevato oltre 700mila applicazioni che violano le linee guida del Play Store, il 70% in più rispetto al 2016. Tra queste le copycats, applicazioni dai contenuti inaccettabili e malware.

La statistica mostra che le applicazioni malevole riescono a raggiungere lo Store nonostante le innumerevoli funzioni di sicurezza implementate da Google. Per questo motivo gli utenti dovrebbero assolutamente installare sul proprio dispositivo una Security App, in grado di individuare per tempo le applicazioni contenenti funzioni dannose. La Security App dovrebbe essere dotata della scansione antivirus, per identificare eventuali trojan, malware e altri codici malevoli sui dispositivi Android e nelle applicazioni.

Le vulnerabilità impongono un cambiamento di rotta

Abbiamo già indicato in altri testi sull’argomento che, per gli esperti, Android è leader maximo delle vulnerabilità. Nel solo 2017 diversi sviluppatori e ricercatori hanno rilevato 842 falle nelle diverse versioni del sistema operativo firmato Google. Questo predominio si può argomentare adducendo il fatto che Android è un progetto open source, sono quindi molte le persone che hanno la possibilità di apportare modifiche e condurre ricerche sul software. Il problema tuttavia non si limita alle vulnerabilità del software ma riguarda anche e soprattutto le falle dell’hardware. Meltdown e Spectre, le gravi falle di sicurezza dei processori utilizzati anche nei dispositivi mobili, hanno mostrato ancora una volta quanto sia necessario velocizzare i processi al fine di assicurare agli utenti aggiornamenti tempestivi, poiché la maggior parte dei cyber attacchi sfrutta vulnerabilità note.

Project Treble: forse la luce in fondo al tunnel?

Gli aggiornamenti di Android costituiscono da sempre un tema spinoso – non solo dal punto di vista degli utenti. Le vulnerabilità vengono rese note sempre più frequentemente e a distanza sempre più ravvicinata e proprio gli smartphone sono maggiormente a rischio. Con la pubblicazione del nuovo Android 8.0 “Oreo” Google ha presentato il suo “Project Treble”. Gli sviluppatori Android puntano ad una distribuzione generale degli aggiornamenti più rapida, con l’intento di non limitare la ricezione tempestiva degli update ai soli modelli Pixel e Nexus.

Fino ad ora infatti era necessario rispettare cinque fasi prima della pubblicazione di un aggiornamento: il team Android metteva a disposizione un codice Open Source che i produttori di processori potevano adattare ai propri hardware specifici. Dopo di che era il turno dei produttori di smartphone, a cui veniva data la possibilità di personalizzare la nuova release. I provider che vendono propri dispositivi mobili ai clienti, avevano anch’essi l’opportunità di apportare le proprie modifiche al software. Solo allora si poteva rilasciare la nuova versione del sistema operativo. Questi processi concatenati richiedono da sempre tempi molto lunghi, con la conseguenza che gli utenti ricevono gli aggiornamenti a mesi o addirittura anni di distanza (e in alcuni casi neanche mai) rispetto al rilascio da parte del team Android.

Semplificazione dei processi

Tramite “Treble” Google ha modificato il processo e messo a disposizione una cosiddetta “interfaccia vendor” quale trait d’union tra il Framework Android-OS e gli adeguamenti del produttore. Tale interfaccia contiene tutte le informazioni specifiche rilevanti per l’hardware, come ad esempio i driver dei chipset. I produttori di smartphone possono così consegnare rapidamente gli update di Android, senza doverli adattare alle proprie esigenze.

Gli utenti avrebbero finalmente l’opportunità di beneficiare degli aggiornamenti di sicurezza più rapidamente senza doversi più preoccupare dei lunghi tempi di attesa. Sono soprattutto gli smartphone di fascia bassa a non ricevere alcuna protezione contro le vulnerabilità, sovente perché già in fase di produzione montano un software obsoleto.

Il neo: disponibilità di “Treble” a discrezione del produttore

“Project Treble” è disponibile su tutti gli smartphone che sin dalla produzione dispongono di Android Oreo. Tuttavia un aggiornamento alla versione 8.0 successivo alla produzione non garantisce la fruibilità del progetto, poiché Google lascia ai produttori la libertà di scegliere se fornire o meno la funzione con l’aggiornamento. Al momento dell’acquisto di un nuovo smartphone con sistema operativo Android, gli utenti dovrebbero quindi assicurarsi che sia dotato della versione 8.0 di Android di fabbrica e che quindi integri il “progetto Treble” by default. Così facendo, ci si assicura di fruire rapidamente delle patch di sicurezza contro falle come Spectre.[1]

[1] https://android-developers.googleblog.com/2017/05/here-comes-treble-modular-base-for.html

*.*

Continua a leggere