Android sarebbe vulnerabile sul 95 per cento dei dispositivi. All’inizio di quest’anno, la notizia già fece scalpore – all’epoca si parlava di un 65 per cento di rischio. In particolare, principale indiziato è il clickjacking che consentire agli “aggressori” di monitorare tutte le attività svolte sul device preso di mira.
Al momento, a puntare il dito su questo rischio è la società Skycure, la quale sostiene che addirittura mezzo miliardo di dispositivi siano completamente in balia di malintenzionati. Nello specifico, si sostiene che, nonostante le protezioni aggiuntivi immesse su Android Lollipop, il numero possa addirittura aumentare, fino a raggiungere il miliardo di device.
Android Accessibility Services, ad esempio, fornisce alcune ottimizzazioni per l’interfaccia, facendo in modo che l’utente possa interagire con il proprio dispositivo. Offre la possibilità utilizzare app con sovrapposizioni grafiche di programmi che consentono con il touch di eseguire l’azione stessa. La combinazione di queste due caratteristiche fa in modo che un hacker malintenzionato possa ingannare l’utente stesso con la richiesta di autorizzazioni al proprio malware.
Da Lollipop in poi, Google ha inserito una protezione aggiuntiva che, dopo l’”OK” di prassi, concede l’autorizzazione all’accesso. Ciò fa in modo che, se un utente sceglie di proseguire, il pulsante OK non può essere coperto da una sovrapposizione e, quindi, si sia perfettamente a conoscenza di quel che si sta autorizzando.
Yair Amit, cofondatore di Skycure, racconta di avere avuto questa “illuminazione” in albergo. Se una porta, infatti, blocca la visuale sul corridoio, c’è uno spioncino che permette di sbirciare. “Questa è stata la mia epifania che mi ha portato a pensare che, se ci fosse un buco nella sovrapposizione, il pulsante OK potrebbe essere ‘in gran parte coperto’ e, ancora, accettare un altro touch in un’area potenzialmente molto piccola.”
I risultati, ad oggi, parlano chiaro. Secondo quanto emerge, il problema è sorto con Lollipop e con le versioni a seguire di Android. Il clickjacking, dunque, ha raggiunto il 95,4 per cento di attività sui dispositivi Android.