I ricercatori di sicurezza hanno appena scoperto un massiccio attacco alla catena di approvvigionamento che colpisce milioni di dispositivi Android, il che è piuttosto preoccupante. L'attacco prende di mira vari dispositivi intelligenti, inclusi smartphone economici, smartwatch, smart TV, ecc. Sembra che il problema sia stato creato dall'intensa concorrenza tra i produttori di apparecchiature originali (OEM).
Durante la loro indagine, i ricercatori hanno evidenziato il problema in una conferenza tenutasi a Singapore. Hanno rintracciato la causa principale di questo problema nella feroce concorrenza tra i produttori di apparecchiature originali (OEM).
I produttori non sono colpevoli
È interessante notare che i produttori di smartphone non producono tutti i componenti da soli. Un componente cruciale, il firmware, viene spesso esternalizzato a fornitori di terze parti. Tuttavia, a causa della diminuzione dei prezzi del firmware dei telefoni cellulari, questi fornitori hanno avuto difficoltà a monetizzare i loro prodotti.
Di conseguenza, i ricercatori hanno scoperto che alcune immagini del firmware contenevano elementi aggiuntivi e indesiderati chiamati "plugin silenziosi". Hanno identificato "dozzine" di immagini del firmware contenenti software minaccioso o malware e identificato circa 80 plug-in diversi. Alcuni di questi plugin facevano parte di un "modello di business" più ampio e sono stati venduti sui forum del Dark Web e pubblicizzati su piattaforme e blog di social media tradizionali.
I plug-in dannosi possono essere la radice dell'attacco
I plug-in scoperti in questo attacco alla catena di approvvigionamento possiedono varie funzionalità che minacciano gravemente i dispositivi interessati. Hanno la capacità di raccogliere informazioni sensibili, come i dati personali, e ottenere l'accesso non autorizzato ai messaggi SMS. Inoltre, questi plug-in dannosi possono assumere il controllo degli account dei social media, sfruttare i dispositivi per frodi pubblicitarie e sui clic, manipolare il traffico Internet e molto altro. La gamma di attività dannose abilitate da questi plugin è ampia.
Un plug-in particolarmente preoccupante evidenziato dai ricercatori garantisce all'acquirente il controllo completo su un dispositivo per un massimo di cinque minuti. Ciò significa che gli aggressori potrebbero utilizzare il dispositivo compromesso come "nodo di uscita" per svolgere le loro attività minacciose.
I dati che hanno raccolto indicano che quasi nove milioni di dispositivi in tutto il mondo sono stati colpiti da questo attacco alla supply chain. La maggior parte dei dispositivi interessati è concentrata nel sud-est asiatico e nell'Europa orientale. Sebbene i ricercatori non abbiano nominato esplicitamente i colpevoli dietro l'attacco malware, sono stati fatti più volte riferimenti alla Cina, portando la pubblicazione a trarre le proprie conclusioni.