I ricercatori di IBM Security hanno scoperto una grave vulnerabilità che interessa l'importante servizio KeyStore Android, che viene utilizzato per la memorizzazione di chiavi crittografiche e altre credenziali sensibili. La scoperta del bug risale a 9 mesi fa, ma è stata divulgata solo in questi giorni e coinvolge la versione Android 4.3 del sistema operativo mobile. Sebbene tale difetto sia stato risolto nell'ultima versione Android Kitkat 4.4, il problema è che la stragrande maggioranza degli utenti del sistema operativo di Google non hanno l'ultima versione.
Secondo l'advisory di sicurezza rilasciato dai ricercatori di sicurezza di IBM, il componente KeyStore dello stack di Android è vulnerabile a un attacco di buffer overflow che potrebbe compromettere la sicurezza dell'intero dispositivo. La pubblicazione della vulnerabilità CVE-2014-3100 è stata ritardata a causa della "natura frammentata di Android e per il fatto che si trattava di una vulnerabilità di esecuzione del codice", spiegano i ricercatori. I ricercatori hanno definito la vulnerabilità come un errore di programmazione nel codice.
Android fornisce un servizio di archiviazione sicuro implementato da /system/bin/keystore. In passato, questo servizio era accessibile ad altre applicazioni utilizzando un UNIX socket daemon trovato sotto /dev/socket/keystore. Oggi, tuttavia, è accessibile dal Binder interface. Ogni utente Android riceve la propria area di archiviazione sicura. Un Blob è criptato con una chiave master AES, che è casuale, e viene criptato su disco utilizzando una chiave che è derivata da una password dalla funzione PKCS5_PBKDF2_HMAC_SHA1.
Nelle ultime versioni di Android, le credenziali come le chiavi private RSA possono essere hardware-backed. Ciò significa che le chiavi keystore servono solo come identificatori per le chiavi reali sostenuti dall'hardware. Nonostante il supporto hardware, alcune credenziali, come ad esempio le credenziali VPN PPTP, sono ancora memorizzate (criptate) su disco. Un buffer di stack viene creato dal metodo "KeyStore :: getKeyForName", del componente KeyStore. La vulnerabilità è stata pubblicata il 23/06/2014 ed identificata come Bug-10676015.
Tuttavia, la consulenza di IBM Security rileva che sfruttare la falla non è esattamente un gioco da ragazzi, dato che Android ha una serie di garanzie built-in contro l'esecuzione di codice dannoso, compresa il Data Execution Prevention (DEP) e l'Address Space Layout Randomization (ASLR). In ogni caso, l'unica precauzione certa per prevenire il rischio d'attacco è evitare il download di applicazioni da fonti non sicure. Google non ha ancora commentato la questione o spiegato se ci sarà una patch per la versione di Android afflitta dal bug.
Fonte: Maximum PC
Via: SCIP
Nessun commento:
Posta un commento