Android, Rilevamento di Panico in caso di attacco malware

Google a partire da Android 7.1 Nougat introduce nella sua piattaforma mobile una nuova modalità "anti-panico" nel caso in cui l’utente si trovasse con lo schermo del dispositivo bloccato in un’app dannosa che ha preso il controllo del device.

La funzionalità di rilevamento di panico in Android non ha nulla a che fare con l’avvisare amici o i soccorsi nel caso in cui si avesse bisogno di aiuto, ma è piuttosto una nuova funzionalità intelligente anti-malware il cui scopo è quello di permettere all’utente di tornare ad utilizzare il proprio dispositivo infettato da una applicazione dannosa.

Scoperta inizialmente dagli sviluppatori di xda-developers, la nuova modalità non è accessibile all’utente ma si attiva in automatico nel momento in cui serve, ovvero nel momento in cui il dispositivo viene infettato da un malware o altra applicazione dannosa.

Esistono delle applicazioni con malware in grado di disattivare il pulsante Indietro e altri pulsanti impedendo cosi’ all’utente di poter utilizzare il dispositivo infetto aprendo altre app o per tornare alla schermata iniziale: questo succede perchè un malware puo’ prendere possesso del dispositivo che infetta. L’utente in questi casi puo’ sentirsi ‘nel panico’ non sapendo cosa sta succedendo al suo dispositivo e come comportarsi di conseguenza – il nome della funzionalità non è stato scelto a caso. In questi momenti in cui non sa cosa fare l’utente solitamente preme di continuo il tasto Indietro con la speranza di poter uscire dall’applicazione infetta, ed è qui che entra in gioco la ‘Panic Mode’, che presta attenzione a quante volte viene premuto il pulsante indietro entro un certo periodo di tempo.

Se il sistema intuisce che qualcosa non va nel device e che l’utente continua a premere il tasto Indietro, Android va a fermare l’applicazione in esecuzione rimandando l’utente alla schermata iniziale, dandogli cosi’ la possibilità di entrare nelle impostazioni e disinstallare l’applicazione dannosa.

La funzionalità è stata scoperta quasi per caso, dunque ci si potrebbe chiedere come mai Google non la pubblicizza. Il motivo è abbastanza semplice: non renderla nota agli hacker. Ora che si è scoperta e si è iniziato a parlare di essa, non è da escludere che gli sviluppatori di malware proveranno a raggirarla per renderla inutile.

Quindi, se la modalità di panico è attivata, potrebbe aiutare a riprendere il controllo temporaneo del dispositivo.

Ecco quanto scrivono i ragazzi di xda-developers nel loro blog:

"Molti dei lettori di siti web su Android come i nostri hanno meno probabilità di trovarsi in situazioni in cui un’applicazione canaglia compromette il loro sistema, ma lo stesso non può essere vero per la popolazione in generale. Quasi ogni settimana sentiamo da diversi ricercatori di sicurezza la scoperta di nuovi malware che colpiscono gli utenti di Android. La maggior parte di questi attacchi dannosi può essere evitata controllando le autorizzazioni o evitando di installare applicazioni inaspettate e, mentre raccomandiamo ai nostri lettori di mantenere in sicurezza il proprio telefono, Google è responsabile nell’assicurare sicurezza per ogni telefono Android. A tal fine, l’azienda ha introdotto in silenzio una nuova funzionalità di sicurezza in Android 7.1 Nougat denominata "rilevamento di panico" che rileva la continua pressione in successione del pulsante Indietro, quindi restituisce all’utente la propria schermata iniziale. Molto semplicemente, se le applicazioni infette tentano di bloccare lo schermo dell’utente e impediscono all’utente di lasciare [l’app], Android stesso sostituirà l’applicazione per riportare la schermata iniziale. L’utente può quindi presumibilmente disinstallare l’applicazione dannosa."

La Panic Mode puo’ dunque tornare utile per riprendere il controllo temporaneo del dispositivo infettato da un malware per disinstallare l’applicazione lo ha portato nel device, ma si trova solo su Android 7.1 (e presumiamo lo sarà nelle versioni successive), versione che si trova in una piccola percentuale di tutti i dispositivi Android attivi, per cui è una difesa solo per pochi device.