Freak Attack, oltre Mille app Android ancora vulnerabili

Un totale di 1.228 applicazioni Android che sono state scaricate 6,3 miliardi di volte dal Play Store di Google sono ancora vulnerabili al bug FREAK, secondo la società di sicurezza FireEye. La ricerca pubblicata Martedì dalla società dimostra quante sono le applicazioni iOS e Android ancora vulnerabili ad un attacco FREAK.

FREAK è una debolezza nella crittografia che permette agli aggressori di intercettare i dati che viaggiano tra un sito web vulnerabile o sistema operativo ad un server che utilizza protocolli di crittografia deboli. Se il bug viene combinato con un cosiddetto attacco man-in-the-middle, i dati potrebbero teoricamente essere intercettati e raccolti all’insaputa dell’utente che sta involontariamente utilizzando un livello di crittografia non aggiornato.

Secondo FireEye, che ha aggiornato i suoi dati al 4 marzo, anche le più recenti versioni delle piattaforme Android e iOS sono vulnerabili al problema della sicurezza rinominato in FREAK, che è sia una vulnerabilità della piattaforma stessa che una vulnerabilità contenuta nelle app: anche se Google e Apple rilasciano una patch, le applicazioni possono essere ancora vulnerabili quando tentano la connessione al server che si affida alla suite RSA_EXPORT per la cifratura.

FireEye dice che questo è il motivo per cui alcune applicazioni iOS sono vulnerabili anche dopo che Apple ha patchato la vulnerabilità FREAK in iOS 8.2 all’inizio di questo mese.

La situazione su Android. I ricercatori Yulong Zhang, Hui Xue, Tao Wei e Zhaofeng Chen hanno fatto un giro attraverso il negozio Play Store di Google per determinare quanto ancora grave la vulnerabilità FREAK potrebbe essere. Il team ha scansionato un totale di 10.985 applicazioni popolari che hanno oltre un milione di download ciascuna, scoprendo che l’11,2 per cento di esse, 1.228 applicazioni in totale, sono ancora vulnerabili al bug, perché "utilizzano una libreria OpenSSL vulnerabile per connettersi a server HTTPS vulnerabili.". In totale, 664 di queste applicazioni utilizzano la libreria OpenSSL integrata in Android e 554 si basano su librerie personalizzate.

La situazione su iOS. Quando si tratta di applicazioni iOS, i ricercatori di sicurezza sostengono che 771 su 14.079 applicazioni popolari – pari al 5,5 per cento – si connettono ancora a servizi vulnerabili e, quindi, sono vulnerabili agli attacchi Freak – solo sui device senza update iOS 8.2. Tuttavia, sette di queste 771 app hanno una versione personalizzata di OpenSSL vulnerabile, rimanendo quindi vulnerabili anche in iOS 8.2.

Ad esempio, un attacco FREAK su una applicazione commerciale potrebbe essere utilizzato per rubare le credenziali di accesso e le informazioni della carta di credito dell’utente. Inoltre, le applicazioni dedicate alla salute, applicazioni di produttività e applicazioni di finanza possono anche essere vulnerabili.

I tassi di applicazioni vulnerabili ordinate per categorie sono riportati di seguito.

FireEye – statistica su Freak Attack

FireEye – statistica su Freak Attack