Ultime Notizie

Ultimi articoli pubblicati

mercoledì 24 marzo 2021

Come risolvere il problema delle app che crashano su Android


I problemi sono iniziati ieri con app come Chrome, Gmail e altre non prodotte da Google, e stanno continuando oggi per alcuni utenti. La causa è un un bug in una componente di Android chiamata System Webview, Google è già corsa ai ripari ma per risolvere immediatamente il problema c’è un trucco semplice da seguire.

A partire dalla giornata di ieri numerose app per Android stanno dando problemi inaspettati e chiudendosi improvvisamente – quel che in gergo viene definito andare in crash. Accade a Gmail, accade a Chrome e ad altre app del mondo Google, ma anche a software che hanno poco a che vedere con la casa di Mountain View: neanche home banking e messaggistica non sono risparmiati, e i loro malfunzionamenti stanno mettendo in crisi milioni di utenti in tutto il mondo. La causa è in un bug presente in Android System Webview: una componente chiave di Android che viene utilizzata per visualizzare le pagine web. Fortunatamente la falla è già stata chiusa, ma per velocizzare la soluzione del problema è possibile ricorrere a un semplice stratagemma.

Il componente

Android System Webview è una componente di Android che permette alle app installate di visualizzare le pagine web senza bisogno di fare affidamento su un browser. Pagine di autenticazione, collegamenti esterni e in generale qualunque risorsa ospitata su una pagina Internet ed esterna all'app viene aperta e visualizzata sullo schermo del telefono attraverso Android System Webview. La componente si occupa dunque silenziosamente di una parte non indifferente di quel che avviene all'interno delle app; non stupisce che un errore al suo interno possa dare problemi estesi a numerose app installate sul telefono.

Nella fattispecie, una delle ultime versioni di Android System Webview conteneva un bug ma – dal momento che l'aggiornamento di WebView avviene in modo frequente e silenzioso – per gli utenti non era facile risalire all'origine del problema. L'indizio a disposizione di chi ha cercato per giorni di capire cosa stesse succedendo al telefono era uno solo: i crash si manifestavano soltanto quando le app cercavano di aprire una pagina web – chiedendo dunque l'entrata in gioco della componente che però mandava in tilt le app stessepp Android ancora in crash, Google rilascia fix di System Webview: come risolvere il problema.

Come risolvere

Il problema non ha colpito tutti i proprietari di smartphone Android, ma è stato comunque avvertito da milioni di utenti: gli sviluppatori Google si sono dunque resi conto piuttosto in fretta del bug che avevano introdotto per errore in Android System Webview correndo immediatamente ai ripari. L'ultima versione della componente che è stata rilasciata è già libera dal bug ed è in fase di rilascio, ma quest'ultimo avviene automaticamente in tempi e modi stabiliti dal sistema di distribuzione degli aggiornamenti del sistema operativo Android. Per accelerare il processo è possibile visitare il Play Store di Google e forzare l'aggiornamento cercando la componente, che ha le fattezze di una comune app: digitando nella casella di ricerca Android System Webview basta premere il tasto Aggiorna; se quest'ultimo non è presente, significa che la componente è già stata aggiornata in automatico.



martedì 3 novembre 2020

Come difendersi dalla truffa Whatsapp del codice a 6 cifre


Nelle ultime ore si ha evidenza di nuovi tentativi di furto dei profili WhatsApp mediante la truffa del codice di verifica a 6 cifre. Si presenta con un messaggio che arriva da uno dei nostri contatti, “Ciao, ti ho inviato un codice per sbaglio, potresti rimandarmelo?”.

Il truffatore può impadronirsi di un profilo WhatsApp e dei relativi gruppi, modificando volendo anche nome e foto dell’account, mettendo successivamente in atto, secondo un processo a catena, la stessa truffa contro i componenti delle conversazioni in comune.

L’utente viene attaccato con il messaggio, che appare su WhatsApp da parte di uno dei nostri contatti in rubrica, “Ciao, ti ho inviato un codice per sbaglio, potresti rimandarmelo?”. Se lo mandiamo scatta il furto del profilo.


Si tratta infatti del codice dell’autenticazione a due fattori, che non dobbiamo dare a nessuno per nessun motivo. Il nostro contatto in rubrica ci ha mandato involontariamente quel messaggio perché è caduto nella truffa, la quale permette ai criminali di sfruttarne il profilo per mandare quel messaggio ad altri contatti, in una sorta di catena di sant’Antonio automatica.

Il meccanismo con il quale può essere attuata la truffa è abbastanza semplice e sfrutta le ben note tecniche d’ingegneria sociale oltre ad una funzionalità legittima di WhatsApp: la funzione “cambia numero” che prevede una verifica con codice di 6 cifre trasmesso via SMS.

Il criminal hacker entrato in possesso dell’account diventa a tutti gli effetti proprietario del profilo e delle impostazioni personalizzate. Potrà, quindi, vedere i gruppi e i numeri di telefono dei partecipanti (anche se non potrà vedere i contenuti delle chat singole e di gruppo; qualora la vittima sia amministratore di un gruppo potrà eliminarlo o cambiarne nome) che potranno essere usati per propinare la stessa truffa.

Se a questo si aggiunge anche che utilizzando la funzione “cambia numero” è possibile avvisare i contatti del cambio avvenuto, succede che gli ignari contatti aggiungendo un numero sconosciuto alla propria rubrica agevoleranno ancor di più, di fatto, il lavoro del criminal hacker che così troverà nuovi gruppi e quindi nuovi numeri da carpire.

In teoria il criminale potrebbe anche cambiare il numero dell’autenticazione a due fattori e sequestrare il profilo, chiedendone poi un riscatto.

Non risultano a momento exploit specifici utilizzati per questa truffa, tuttavia.

Per prevenire l’eventualità di cadere vittima della cosiddetta “truffa del codice a 6 cifre” su WhatsApp è sufficiente seguire delle buone regole e attivare delle funzionalità di sicurezza aggiuntive messe a disposizione dalla stessa app di messaggistica:

-non condividere mai con altri il codice di verifica a 6 cifre;
-non condividere con nessuno informazioni personali;
-prestare attenzione quando si ricevono richieste inaspettate e insolite;
-abilitare le notifiche di sicurezza (che consentono di ricevere una notifica ogni volta che un contatto cambia il codice di accesso a 6 cifre) e la verifica a due passaggi (che richiede l’inserimento di un PIN personale ogniqualvolta che si effettua la registrazione del proprio numero di telefono su WhatsApp).

Per abilitare le notifiche di sicurezza e la verifica in due passaggi è necessario accedere al proprio profilo WhatsApp e attivare le seguenti voci di menu:

in Impostazioni/Account/Sicurezza selezionare l’opzione Mostra notifiche di sicurezza;
da Impostazioni/Account/Verifica in due passaggi procedere all’attivazione della funzione.


Se invece siamo già rimasti vittima della truffa, possiamo in un attimo recuperare il controllo del profilo facendo mandare a WhatsApp un nuovo codice al nostro cellulare.

In questo caso, è sufficiente riprovare l’accesso al proprio account WhatsApp e quindi inserire di nuovo il nostro numero di telefono (nella speranza che il truffatore non abbia già cambiato il numero associato e fatto altri danni). Ci arriverà un codice sul cellulare e l’accesso sarà ripristinato in automatico, come quando cambiamo cellulare.

venerdì 18 settembre 2020

BLESA la vulnerabilità del Bluetooth LE mette a rischio miliardi di dispositivi

BLESA

La vulnerabilità "BLESA" influisce sul processo di riconnessione che si verifica quando un dispositivo torna nel raggio d'azione dopo aver perso o interrotto l'associazione.

Un team di ricercatori ha scoperto una vulnerabilità Bluetooth Low Energy (BLE) che consente attacchi di spoofing. Ha un potenziale impatto su miliardi di dispositivi Internet of Things (IoT), e al momento i dispositivi Android sono al momento vulnerabili.

La vulnerabilità BLE Spoofing Attacks (BLESA) deriva da problemi di autenticazione nel processo di riconnessione del dispositivo. Secondo un documento pubblicato di recente dai ricercatori della Purdue University, le riconnessioni si verificano dopo che due dispositivi sono stati collegati e poi uno esce dall'area coperta dal segnale (o si disconnette) e quindi si riconnette . Le riconnessioni sono comuni negli ambienti IoT industriali, ad esempio, dove i sensori possono connettersi periodicamente a un server per trasmettere dati di telemetria, ad esempio, prima di disconnettersi e passare alla modalità di monitoraggio.

Un attacco BLESA riuscito consente ai malintenzionati di connettersi a un dispositivo (aggirando i requisiti di autenticazione della riconnessione) e di inviargli dati falsificati. Nel caso dei dispositivi IoT, quei pacchetti dannosi possono convincere le macchine a eseguire un comportamento diverso o nuovo.

La vulnerabilità è particolarmente significativa a causa dell'ubiquità del protocollo BLE
che, a causa della sua efficienza energetica e semplicità d'uso, viene utilizzato da miliardi di dispositivi per accoppiarsi e connettersi.

Per facilitare la sua adozione, BLE richiede un'interazione dell'utente limitata o nulla per stabilire una connessione tra due dispositivi. Sfortunatamente, questa semplicità è la causa principale di diversi problemi di sicurezza.

BLE facilita ulteriormente l'accesso per un attacco perché i suoi pacchetti vengono sempre trasmessi come testo (non crittografato), quindi un utente malintenzionato può facilmente impersonare il server benigno inviando gli stessi pacchetti e clonando il suo indirizzo MAC.

Gli aggressori possono utilizzare BLESA su implementazioni BLE su piattaforme Linux, Android e iOS. In particolare, i dispositivi BlueZ IoT basati su Linux, Fluoride basato su Android e lo stack iOS BLE sono tutti vulnerabili, mentre le implementazioni Windows di BLE non sono vulnerabili.


Apple ha assegnato alla vulnerabilità il CVE-2020-9770 risolto a giugno. Tuttavia, su molti smartphone Android è ancora vulnerabile. Non sarà facile risolvere la vulnerabilità su tutti i dispositivi soprattutto quelli più datati.


sabato 22 agosto 2020

FritzFrog la sofisticata botnet di ultima generazione

Preoccupa la scoperta di una nuova botnet P2P chiamata FritzFrog che si serve della rete peer-to-peer per accumulare nella memoria della macchina attaccata i dati che poi assemblano il malware. È in piedi da almeno gennaio, ma c’è già uno script che può sniffare la sua presenza.

FritzFrog è stata scoperta a gennaio e ha buone possibilità di essere annoverata tra le botnet più sofisticate di sempre, perché non ha un vero e proprio centro di comando: sfrutta la rete peer-to-peer ed è molto difficile individuare il suo “cervello”, perché è sparso per la rete. Il dettaglio peggiore è che lancia attacchi senza file, con i dati che arrivano dal P2P e fanno crescere il malware nella memoria della macchina colpita.

Più che come un cervello bisogna immaginare FritzFrog come una sorta di sistema nervoso con nodi complessi. Solitamente, una botnet è formata da una rete dispositivi infetti da virus trojan che diventano zombie nelle mani dei cybercriminali, ma una botnet “standard” ha un centro di comando a cui è possibile risalire. FritzFrog no: è diversa ed è stata programmata da zero.

A scoprirla è stata Guardicore Labs, una società di ricerca sulla sicurezza informatica, che mentre compilava un’enciclopedia delle reti botnet si è imbattuta in FritzFrog. Era il 9 gennaio 2020. Da allora sono state trovate 20 versione diverse dei codici binari di FritzFrog.


Un worm che cresce senza file ricevendo i suoi pezzi dal P2P

Schema di funzionamento della botnet FritzFrog

L’attacco di base di FritFrog avviene tramite l’esecuzione di un worm scritto in Golang di tipo modulare, multi-thread e che non lascia tracce sul disco delle macchine infettate. Si serve di “blob” di dati binari che vengono richiamati dai nodi P2P della sua rete malevola. Una volta che sono arrivati tutti nella memoria della macchina da colpire, li assembla nel malware e colpisce.

FritzFrog è completamente proprietario; la sua implementazione P2P è stata scritta da zero, il che significa che gli aggressori non si sono serviti di pacchetti di malware già confezionati, e che li identifica quindi come sviluppatori di software altamente professionali.

I bersagli preferiti di FritzFrog sono i server SSH di uffici governativi, istituzioni educative, centri medici, banche e numerose aziende di telecomunicazioni. Ha tentato attacchi brute-force su decine di milioni di indirizzi IP, riuscendo con successo a violare più di 500 server, infettando note università negli Stati Uniti e in Europa e una compagnia ferroviaria.

FritzFrog non è la prima botnet P2P a essere stata scoperta, ma a differenza delle altre è “senza file”, in quanto assembla ed esegue i payload - ovvero i dati trasmessi all'ignaro bersaglio che compongono l’attacco vero e proprio - direttamente nella memoria del sistema. È più aggressiva nei suoi tentativi di forza bruta, ma rimane efficiente distribuendo gli obiettivi in modo uniforme all'interno dei nodi P2P della rete.

Anche il protocollo P2P di FritzFrog è proprietario e non si basa su alcuna implementazione esistente. Il malware in Golang, come detto, è completamente volatile e non lascia tracce sul disco. Crea una backdoor sotto forma di chiave pubblica SSH, permettendo agli aggressori di accedere continuamente alle macchine delle vittime. Una chiave pubblica SSH (Secure Shell) è una credenziale di autenticazione che definisce chi può accedere a un sistema.

Guardicore Labs non è ancora riuscita ad attribuire FritzFrog a uno specifico gruppo di cybercriminali, ma ha trovato alcune assonanze con la botnet P2P chiamta Rakos.


Uno script che riesce ad ascoltare l'arrivo di FritzFrog

Script in esecuzione per individuare la botnet

Però, Guardicore Labs è riuscita a sviluppare un programma in Golang per i client che è in grado di intercettare le comunicazioni P2P di FritzFrog, oltre ad unirsi come peer di rete e seguire il traffico di FritzFrog.

La società di sicurezza consiglia di eseguire lo script sui server SSH che permette di sniffare l’arrivo di FritzFrog, usare password forti rimuovere la chiave pubblica di FritzFrog dal file authorized_keys, impedendo agli aggressori di accedere alla macchina. Qui i dettagli.

venerdì 19 giugno 2020

FaceApp, dove finiscono foto e dati personali?

L’applicazione FaceApp è tornata a circolare sui social network dopo il lancio gratuito del filtro gender swap:  ha ricevuto centinaia di migliaia di condivisioni su Facebook Instagram

E' stata sollevata qualche preoccupazione sulla sicurezza dell’applicazione di riconoscimento facciale e sui rischi per la privacy della condivisione di queste informazioni.

Kaspersky consiglia di prestare attenzione che l’applicazione non contiene elementi dannosi. Tuttavia, poiché il riconoscimento facciale è una tecnologia utilizzata principalmente per l’autenticazione delle password, gli utenti dovrebbero prestare molta attenzione quando decidono di condividere la propria immagine con terzi. 

Dobbiamo trattare queste nuove forme di autenticazione come fossero delle password, poiché qualsiasi sistema di riconoscimento facciale ampiamente diffuso può finire nelle mani sbagliate.

Ci si scandalizza per l’app Immuni, per paura che la nostra privacy venga violata, molti utenti non si rendono conto che numerose app che si utilizzano quotidianamente fanno praticamente la medesima cosa. FaceApp, da questo punto di vista, non sembra essere assolutamente da meno e vediamo più nel dettaglio dove finiscono i vari dati.

Quest’applicazione funziona sfruttando l’intelligenza artificiale ed inevitabilmente raccoglie dei dati che diventano poi il core business dell’azienda. Quest’ultima ha sede a San Pietroburgo, in Russia, ma risponde alla giurisdizione legale dello stato della California. Per quanto concerne i sistemi di archiviazione, il CEO di FaceApp ha dichiarato che l’app utilizza Amazon Web Service ed il cloud di Google.
Inoltre, bisogna tener conto del fatto che questi dati sono memorizzati su server di terze parti e che potrebbero anche essere rubati dai cyber criminali e utilizzati per il furto di identità.

Pertanto, prima di aderire a qualsiasi nuovo trend sui social media, gli utenti dovrebbero accertarsi dell’affidabilità delle applicazioni e fare il download solo dai negozi ufficiali. 

Ricordiamo che è importante leggere i termini sulla privacy delle applicazioni per capire quali diritti e tipologie di accesso vengono richiesti. 

E’ stato a tal proposito chiarito come la maggior parte delle foto venga cancellata entro le 48 ore per garantire una maggiore ottimizzazione dell’applicazione. Eppure nella pagina della policy viene chiesto agli utenti di accettare una possibile archiviazione delle foto scattate. 

L’azienda ha poi affermato che non venderà informazioni personali a terze parti, in realtà però nella pagina ‘Terms and Conditions’ si dice esattamente il contrario (trovate tutto qui). Non è quindi a questo punto ben chiaro che fine facciano i dati inseriti all’interno di FaceApp, c’è ancora un bel po’ di incertezza, con relativi paradossi rispetto ai timori per Immuni.

sabato 28 dicembre 2019

Oltre 5000 password delle videocamere Ring sul Dark Web


In particolare, stando anche a quanto riportato da TechCrunch, sulla rete oscura sono state trovate le credenziali di oltre 1500 account relativi alle videocamere di sorveglianza Ring. Come potete vedere dallo screenshot, la lista sembra essere particolarmente precisa, con tanto di indicazioni su ciò che si può vedere attraverso il dispositivo coinvolto (es. "Living room", ovvero "soggiorno"). Oltre a questo, Buzzfeed News sostiene di aver trovato altre 3600 credenziali di questo tipo, portando quindi il numero di account coinvolti a oltre 5000.
I dispositivi al centro della falla di sicurezza sembrano essere principalmente i Ring Doorbell, ovvero dei "campanelli/citofoni smart" che solitamente vengono posizionati all'esterno della casa. Tuttavia, esistono anche delle Indoor Cam, che si posizionano appunto all'interno dell'abitazione. Questo spiegherebbe il motivo per cui gli hacker dichiarano di essere in grado di visionare anche parti interne alle case. L'azienda che produce questi prodotti ha dichiarato ai microfoni di Buzzfeed News che i suoi sistemi non sono stati violati, quindi non è ben chiaro come queste informazioni sensibili siano finite nelle mani degli hacker.

Secondo quanto riportato da TechCrunch, le password utilizzate dagli utenti coinvolti non sarebbero state particolarmente efficaci e quindi i malintenzionati potrebbero aver utilizzato qualche attacco brute force.

FONTE

sabato 21 dicembre 2019

VPN a rischio a causa di una vulnerabilità nei sistemi Unix


I ricercatori hanno trovato il modo per analizzare il traffico e "dirottare" la VPN sui sistemi Linux, macOS, iOS e Android. 

A dirlo è un gruppo di ricercatori del team di ricerca Breakpointing Bad dell’università del New Mexico.

Gli accademici hanno pubblicato un report in cui spiegano che i sistemi Unix soffrono di una vulnerabilità che permette di “sondare” il traffico delle VPN per raccogliere informazioni e, in buona sostanza, dirottare la connessione. La falla di sicurezza (CVE-2019-14899) consente infatti di iniettare del codice a livello TCP.

Per farlo, un pirata informatico deve essere collegato alla stessa rete locale della vittima. L’attacco avviene attraverso l’invio di speciali pacchetti ai sistemi basati su Unix (Linux, FreeBSD, OpenBSD, macOS, iOS e Android) e l’analisi delle risposte.

Sulla base di queste, è possibile determinare se l’utente è connesso a una VPN, individuare l'indirizzo IP virtuale assegnato dal server VPN e (in alcuni casi) l’esatta sequenza dei pacchetti nella connessione. Il team ha sperimentato la tecnica su diverse tecnologie VPN come OpenVPN, WireGuard e IKEv2/IPSec e ha confermato la sua efficacia.

Secondo i ricercatori, la vulnerabilità può essere mitigata introducendo alcuni accorgimenti non tanto a livello dei sistemi operativi interessati, quanto dei server VPN. La tecnica, infatti, è basata principalmente sull'analisi dei pacchetti inviati dalla vittima, un aspetto su cui è più facile intervenire lato server.

Nel loro report iniziale, in ogni caso, spiegano di aver redatto un white paper completo sulla falla di sicurezza che verrà pubblicato, però, solo quando sarà stata trovata una soluzione per correggere la vulnerabilità.

FONTE