1 year ago
243
A ogni aggiornamento di Android ci aspettiamo nuove funzioni o miglioramenti dell'interfaccia, ma forse un aspetto a cui non prestiamo molta attenzione riguarda la sicurezza, e da questo punto di vista Android 14 rappresenterà una grande novità.
Con un post sul suo blog dedicato a questo argomento, Google ha infatti spiegato come la nuova versione del robottino verde porterà una serie di protezioni a livello di rete cellulare mai apparse su un sistema operativo mobile, permettendo di disabilitare le reti 2G e le connessioni non protette da crittografia.
Ma a quale rischio andiamo incontro e perché questa soluzione è importante?
Alcuni tipi di attacchi, come gli Stingray o le False Stazioni Base (FBS), sfruttano le debolezze degli standard di telefonia cellulare per attaccare i telefoni, e questo è tanto più verso per il 2G, utilizzato spesso in assenza di altre reti per la comunicazione vocale o via SMS. Il problema è che questo tipo di tecnologia, sviluppato nel 1991, non fornisce lo stesso livello di sicurezza delle generazioni mobili successive.
In particolare, le reti 2G basate sullo standard Global System for Mobile Communications (GSM) mancano di autenticazione reciproca, che consente banali attacchi Person-in-the-Middle, e dal 2010 sono state dimostrate banali intercettazioni e decrittografia over-the-air del traffico 2G.
In tali condizioni, uno smartphone non può sapere se una stazione base cellulare sia legittima o meno, e un aggressore può sfruttare questa debolezza per intercettare il traffico o addirittura effettuare il sideload di un malware. Ma non solo. Tali strumenti indurrebbero addirittura il telefono a usare solo la connettività 2G, senza che l'utente se ne accorga e anche se un operatore dovesse aver disabilitato la rete 2G.
Un esempio sono appunto gli Stingrays, che hanno consentito il sideload del malware Pegasus nei telefoni dei giornalisti e un sofisticato schema di phishing che avrebbe avuto un impatto su centinaia di migliaia di utenti con un singolo FBS. Questo attacco ha probabilmente obbligato i telefoni a usare le connessioni 2G per iniettare attacchi di SMSishing, e come si può ben capire la notizia è particolarmente preoccupante non solo per giornalisti e attivisti, ma anche per il settore delle aziende.
Per contrastare il fenomeno, da Android 12 è stata introdotta la possibilità da parte degli utenti di disabilitare il 2G a livello di modem, una soluzione supportata da tutti i dispositivi Android conformi a Radio HAL 1.6+, ma senza per questo impedire le chiamate di emergenza.
Con Android 14, Google ha compiuto un passo ulteriore. Dal punto di vista del passaggio alla connettività 2G, Google ha introdotto limitazioni maggiori in Android Enterprise, una branca dedicata a grandi aziende e agenzie governative, che fornisce controlli di gestione per le funzionalità di sicurezza della connettività, inclusa la possibilità di disabilitare WiFi, Bluetooth e persino la segnalazione dei dati tramite USB.
In questo modo gli utenti potranno configurare la connettività mobile in base al loro modello di rischio e secondo necessità, mantenendo sempre il modem 2G spento o assicurando che i dipendenti siano protetti quando viaggiano in specifiche località ad alto rischio.
Ma non solo. La prossima versione di Android affronta anche il rischio di reti cellulari non cifrate (chiamate null cipher).
Sebbene tutto il traffico utente basato su IP sia protetto e crittografato end-to-end dalla piattaforma Android, le reti cellulari espongono il traffico voce e SMS, che dipendono dalla crittografia a livello di collegamento cellulare. Se questo non è crittografato, l'utente non può saperlo ed è soggetto a intercettazioni.
Con Android 14 gli utenti possono disabilitare il supporto alle reti non crittografate a livello di modem, proprio come avviene per le reti 2G, pur permettendo di effettuare chiamate di emergenza su una connessione non cifrata.
Queste soluzioni di sicurezza sono ovviamente introdotte in Android, ma devono essere i singoli OEM a implementarle, e Google si augura che questo avvenga tempestivamente.
English (US)