Scoperto che la crittografia di Android è più vulnerabile di quanto si pensava.


A quanto pare di recente un ricercatore di sicurezza, (rimasto anonimo), ha scoperto 2 gravi vulnerabilità all'interno di Android che un malintenzionato potrebbe sfruttare estrarre, (in diversi modi), la master key usata per la crittografia del disco. In pratica generalmente nel sistema operativo di casa Google la cosiddetta funzionalità FDE, (ovvero Full Disk Encryption), dovrebbe teoricamente garantire la massima protezione, ma in realtà ciò non accade perché la chiave viene memorizzata all'interno nel software. O almeno questo è il problema che è stato individuato su dispositivi con processori Qualcomm ed interessa almeno un terzo degli smartphone Android. Inoltre, stando a quanto ha spiegato il suddetto ricercatore, le vulnerabilità in questione sono presenti nella cosiddetta "TrustZone", vale a dire una tecnologia sviluppata per i SoC ARM e che impedisce l'accesso ad hardware, software e dati. In sostanza a differenza dei dispositivi iOS, (in cui la crittografia viene implementata a livello hardware: la chiave viene memorizzata in un apposito chip), su Android questa chiave risiede, come già anticipato, nel software. Al riguardo il ricercatore ha pubblicato un exploit che consente, appunto, l'estrazione della master key, sfruttando le due vulnerabilità: utilizzando un FPGA o un cluster di GPU è possibile effettuare un cosiddetto attacco brute force e trovare la password corrispondente. In tal proposito il ricercatore ha sottolineato che l'attuale implementazione dell'FDE semplifica lo sblocco del dispositivo da parte delle forze di polizia: dato che la chiave è presente nella Trust Zone, il produttore dello smartphone potrebbe creare e firmare l'immagine che verrà flashata nel dispositivo. Tra l'altro anche se in realtà su Android è disponibile una chiave hardware, (denominata SHK), questa non viene sfruttata per bloccare direttamente il device, ma per creare una seconda chiave, ovvero quella che può essere facilmente estratta dal software. Comunque sia in merito all'intera vicenda sia Google che Qualcomm hanno comunicato che le vulnerabilità prese in esame sono già state risolte rispettivamente lo scorso Gennaio e lo scorso Maggio; anche se, a causa della famigerata frammentazione di Android, molti dispositivi non riceveranno mai le dovute patch.

Commenti