Android 13, già trovato il modo di aggirate le nuove misure di sicurezza

Android 13 è stato rilasciato in forma stabile sui Pixel da pochi giorni appena, ma già si riportano i primi abusi di sicurezza passando (come al solito) attraverso i servizi di accessibilità, nonostante Google si fosse adoperata molto per rinforzarli (causando peraltro diversi problemi ad app legittime come Tasker e non solo). Stando a quanto racconta Threat Fabric, i primi ad aver sviluppato un exploit funzionante sono alcuni membri del gruppo di cybercriminali noto come Hadoken Security.

Riassumendo molto sinteticamente la situazione: i servizi di accessibilità, per loro natura, devono collegarsi ad aree molto delicate e profonde del sistema operativo per funzionare correttamente. Per questo motivo, con Android 13, Google ha deciso di precluderne l'accesso a ogni app installata manualmente (sideloading) da fonti esterne ai negozi di app (non solo il Play Store, ma anche quelli concorrenti come quello di Amazon o F-Droid) a meno di completare una serie di passaggi piuttosto lunga e laboriosa, studiata appositamente per scoraggiare gli utenti meno esperti.

E così i malfattori cos'hanno pensato? Benissimo, visto che le app scaricate da qualsiasi negozio di app possono ancora interfacciarsi normalmente ai servizi di accessibilità io creo un malware in due parti - una prima parte camuffata da negozio di app, un "dropper" il cui unico compito è installare la seconda parte che contiene il malware vero e proprio, che non ha restrizioni e può collegarsi ai servizi di accessibilità con un singolo tap.

È importante capire che per i cybercriminali la "semplicità d'uso" dei loro software è forse un fattore ancora più critico che per gli sviluppatori legittimi. Al diminuire dei passaggi che la vittima deve compiere per attivare il malware, incrementano significativamente le probabilità di successo. ThreatFabric, che è riuscita a ricreare un proof-of-concept analogo a quello di Hadoken Security, ha battezzato la minaccia BugDrop. Il nome è in realtà una buona notizia: proviene dal fatto che il malware in questa fase è ancora estremamente instabile e funziona male, e quindi per ora ha limitate capacità di fare danni. Ma il messaggio è chiaro: Google deve intervenire in fretta, e stroncare questa minaccia prima che diventi davvero pericolosa.