Uno studio del CERT rivela che molte delle applicazioni più popolari per Android non gestiscono in maniera corretta i certificati SSL

Nei precedenti post abbiamo analizzato le modalità con le quali il crimine informatico abusa dei certificati digitali e quali sono i principali attacchi contro gli utenti che utilizzano connessioni teoricamente secure.

Tra le categorie più esposte rientra quella degli utenti mobile, molte delle principali applicazioni infatti non validano in maniera corretta i certificati SSL presentati dai server.

Di recente, un ricercatore dell’azienda di sicurezza Lacoon ha scoperto che l’applicazione Gmail per dispositivi Apple non esegue correttamente le procedure di certificate pinning in fase di connessione ad un service provider esponendo gli utenti al rischio di attacchi MitM (Man in the Middle).

L’ente Americano Coordination Center della Carnegie Mellon University (CERT/CC) ha pubblicato un elenco delle principali applicazioni per dispositivi Android che non implementano correttamente la convalida del certificato SSL, e purtroppo i dati sono tutt’altro che incoraggianti.

app vulnerabilities

Gli esperti di sicurezza dell’azienda FireEye quest’estate hanno condotto uno studio sul livello di sicurezza offerto dalle 1.000 più popolari applicazioni gratuite disponibili su Google Play Store, ed anche in questo caso i risultati sono scioccanti.  Circa il 68% delle app non controlla i certificati del server cui si connettono ed il 77% ignora gli errori SSL che si verificano in fase di connessione. Secondo gli esperti del CERT, le applicazioni utilizzano librerie vulnerabili, come le librerie Flurry e Chartboost, e per questo motivo sono a loro volta esposte al rischio di attacchi. Nonostante FireEye abbia comunicato le falle scoperte agli sviluppatori, il CERT ha sottolineato che solo poche aziende hanno adottato misure per porre rimedio alle vulnerabilità scoperte nei loro prodotti. Su 13.500 tra le più popolari applicazioni gratuite presenti su Google Play, circa l’8% è basata su implementazioni vulnerabili del protocollo.

Nell’Ottobre dello scorso anno, un gruppo di ricerca tedesco composto da Beekman e Thompson ha pubblicato uno studio analogo a quello di FireEye. Molte delle applicazioni analizzate non utilizzava correttamente il protocollo SSL esponendo ad attacchi di Man-in-the-Middle gli utenti.

Alla luce dei risultati emersi dalle analisi citate, il CERT ha deciso di intraprendere un proprio studio sulle principali applicazioni Android, per i suoi test gli esperti dell’ente hanno utilizzato il tool CERT Tapioca che consente loro di analizzare come le applicazioni gestiscono la convalida dei certificati SSL e di eseguire in maniera automatica attacchi di tipo MITM.

Diversamente da quanto accaduto in occasione dalle precedenti ricerche, i ricercatori del CERT hanno deciso di contattare i team di sviluppo che hanno progettato ciascuna delle applicazioni che non hanno superato i test; lo scopo è di informare gli autori delle applicazioni e fornire loro indicazioni su come risolvere le vulnerabilità individuate.

Il CERT ha deciso di divulgare un foglio Excel contenente la lista delle applicazioni testate, i risultati delle prove effettuate, ed altre informazioni, incluso i codici CVE delle vulnerabilità scoperte.

L’attività intrapresa dal CERT è estremamente positiva; gli esperti infatti intendono continuare nel tempo a monitorare queste e nuove applicazioni fornendo indicazioni sulle vulnerabilità scoperte ai gruppi di sviluppo ed agli utenti stessi.

 


 

Pierluigi PaganiniAutore: Pierluigi Paganini

Membro del Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Affari Esteri e della Cooperazione Internazionale
Membro Gruppo Threat Landscape Stakeholder Group ENISA (European Union Agency for Network and Information Security)
Collaboratore SIPAF – Prevenzione dell’ utilizzo del sistema finanziario per fini illegali – Ministero Dell’Economia e delle Finanze