E' stato pubblicato da qualche giorno l' "Android Security & Privacy 2018" (vedi qui il report completo) di Google, un vero e proprio bilancio prodotto dai ricercatori di Mountain View sulla sicurezza delle app e sulla privacy Android. I dati non sono rassicuranti: si segnala anzitutto un aumento delle applicazioni potenzialmente pericolose che vengono preinstallate sugli smartphone Android o scaricate successivamente, come aggiornamento del sistema operativo.
Nella quasi totalità dei casi i responsabili non sono i produttori di smartphone, ma gruppi di cyber criminali che prendono di mira la supply chain, l'indotto produttivo. Si inseriscono cioè entro la filiera per infettare con malware app legittime che i produttori installano di default e offrono ai propri utenti come parte degli strumenti predefiniti. E' da qualche tempo, ormai, che i cyber criminali mostrano tali tecniche di attacco, dove l'infezione avviene a monte della vendita, quando il prodotto è ancora in fase di produzione. Nel dettaglio sono aumentati i tentativi di incorporare le app dannose sfruttando due punti di accesso alla filiera:
i nuovi dispositivi venduti con app preinstallate;
gli aggiornamenti over-the-air collegati ad aggiornamenti legittimi di sistema.
Secondo Google i motivi sono almeno due:
anzitutto l'aumento dei controlli, che secondo Google ha portato ad una riduzione del 20% delle app pericolose individuate nel 2018 rispetto al 2017.
il secondo è legato alla massimizzazione dell'efficacia dell'attacco. Colpendo la filiera degli aggiornamenti, si riesce a bersagliare un grandissimo numero di utenti con pochissimo sforzo. Infatti, invece di dover "convincere" con l'inganno centinaia o migliaia di utenti a scaricare ed eseguire una app dannosa, in questo caso basta ingannare il produttore del dispositivo (o una società dell'indotto) per ottenere facile accesso ad una distribuzione su larga scala.
I Software Development Kit compromessi
Un'altra tecnica di attacco molto in voga ultimamente è quella di nascondere malware o, in generale, funzioni dannose entro gli SDK (Software Development Kit) usati dagli sviluppatori per produrre applicazioni: gli sviluppatori usando SDK compromessi, producono app dannose (spesso contenenti anche backdoor, oltre a eseguire svariate azioni dannose) senza che ne siano consapevoli. Per questo Google, fa sapere che metterà presto a disposizione dei partner gli stessi strumenti di analisi e rilevazioni che sono in uso entro l'azienda.