Il post seguente è stato tradotto, previa autorizzazione, da Graham Cluley’s blog

Liviu Iftode e Vinod Ganapathy, due ricercatori della Rutgers University, hanno rivelato alcuni esperimenti che stavano effettuando per dimostrare come i rootkit possano essere utilizzati per controllare uno smartphone.

Gli scienziati hanno dimostrato che un malintenzionato potrebbe far si che uno smartphone possa “intercettare una riunione, tenere traccia degli spostamenti del proprietario, o far scaricare rapidamente la batteria per rendere il telefono inutilizzabile”.

Guardate il video seguente su YouTube per maggiori informazioni:

È un video carino ma, in realtà, quanto è realistica questa minaccia ?

Non credo che il tipo di attacco descritto da Iftode e Ganapathy sia un grosso problema in questo momento.

Sì, è possibile modificare o mettere il software su uno smartphone (ad esempio, tramite l’installazione di un rootkit), in modo che il dispositivo mobile possa avere effetti dannosi. Per esempio, il codice che consenta il controllo remoto, l’esaurimento della batteria, o il furto silente dei dati.
Naturalmente, ciò è possibile se lo smartphone permette di apportare modifiche al suo software low-level.
Gli smartphone, come l’iPhone di Apple, bloccano in larga misura questo tipo d’intromissione.

Quindi, la cosa fondamentale da ricordare è che i bad guy devono essere in grado, in qualche modo, d’inserire il rootkit dannoso sul cellulare.

Come possono farlo?

Tramite l’accesso fisico al vostro smartphone, o tramite una vulnerabilità senza patch di sicurezza, o un attacco di ingegneria sociale per ingannarvi ed installare codice dannoso. Anche nel caso abbiano usato il metodo dell’ “inganno”, dovranno affidarsi al sistema operativo del telefono, per poter installare applicazioni non approvate (gli iPhone, ad esempio, sono strettamente controllati dai loro padroni di Cupertino, in modo da consentire agli utenti di installare solamente codice approvato e controllato dall’AppStore).

Detto così, quello che Iftode e Ganapathy stanno descrivendo non pare molto diverso dai rootkit che infettano i computer desktop tradizionali. La differenza principale è che ci sono probabilmente meno opportunità, essendo più difficile, d’infettare un cellulare che, ad esempio, un computer con Windows.

Inoltre direi che il tipico utente di telefonia mobile, è meno incline ad installare applicazioni rispetto alla sua controparte di Windows e così le possibilità di successo d’ingannare l’utente a installare un’applicazione pericolosa, si può supporre che siano ancora minori.

Iftode e Ganapathy non hanno dimostrato alcun modo nuovo e rivoluzionario per aggirare l’ostacolo più grande che possano incontrare coloro che vogliano spiare uno smartphone: come sarà possibile mettere il malware sul telefono?

Se volessi veramente spiare il telefono di qualcuno, penso che sarebbe probabilmente più facile scambiare il cellulare della vittima (opportunamente modificato) con un dispositivo identico, piuttosto che fare tutto questo sforzo, senza garanzie di successo.

Certo, la minaccia dei malware sui cellulari è in crescita ma è una goccia nell’oceano, rispetto agli attacchi che colpiscono regolarmente i computer Windows. Lentamente sta diventando più grave (la recente scoperta di malware a matrice finanziaria che prende di mira gli iPhone con jailbreak ne è la prova ) e senza dubbio, in futuro, si cominceranno a vedere sempre più utenti che useranno protezioni antivirus sui loro telefoni.

Tuttavia, se fossi responsabile di garantire la sicurezza dei cellulari della mia azienda, sarei molto più preoccupato della vera minaccia alla sicurezza del personale: perdere i cellulari in taxi o in treno, piuttosto che il rischio teorico dei surveillance rootkit.

Iftode e Ganapathy hanno fatto un bel video e una bella presentazione ma non voglio perderci il sonno ancora.

Ulteriori informazioni sul tema dei rootkit per smartphone possono essere trovati nel paper che Iftode e Ganapathy hanno creato:
” Rootkit sugli smartphone: gli attacchi, le implicazioni e le opportunità” [PDF]

Fonte: Surveillance rootkits on smartphones
Liviu Iftode and Vinod Ganapathy, two researchers at Rutgers University, have revealed some experiments they have been conducting, showing how rootkits could be used to take control of smartphones.

The scientists have shown that a malicious attacker could cause a smartphone to “eavesdrop on a meeting, track its owner’s travels, or rapidly drain its battery to render the phone useless”.

Watch the following YouTube video to learn more:

It’s a cute little video, but how realistic is this threat in reality?

I don’t think the kind of attack described by Iftode and Ganapathy is a big deal right now.

Yes, it is possible to change or put software onto a smartphone (by, for instance, installing a rootkit) so that the mobile device then performs malicious functions. For instance, code that enables covert remote surveillance, battery drainage or silently steals data.

Of course, this relies upon the smartphone allowing you to make changes to its low-level software. Popular smartphones like the Apple iPhone lock down that kind of meddling to a great extent.

So, the key thing to remember is that the bad guys have to somehow get the malicious rootkit onto your phone in the first place.

How are they going to do that?

They would either need to have physical access to your smartphone, exploit an unpatched security vulnerability or use a social engineering attack to trick you into installing malicious code. Even if they went down the “trick” route they would be relying upon the phone’s OS to allow you to install unapproved apps (iPhones, for instance, are strictly controlled by their Cupertino-based overlords, allowing users to only install code that has been approved and checked by the AppStore).

So it doesn’t sound like what Iftode and Ganapathy are describing is actually any different from the rootkits that infect traditional desktop computers. The main difference is that there are probably less opportunities (and thus much harder) to infect a mobile phone than, say, a computer running Windows.

Furthermore, I would argue that the typical mobile phone user is still typically less used to installing applications than their Windows counterparts, and so the chances of success via fooling the user into installing a dangerous application can be assumed to be even lower.

Iftode and Ganapathy have not demonstrated any revolutionary new way of getting round the biggest hurdle for those wanting to spy on smartphones: how are they going to get the malware onto the phone?

If I really wanted to snoop on someone’s phone I think it would probably be easier to swap my victim’s mobile phone for an identical (but bugged) device rather than go to all this effort with no promise of success.

Sure, the mobile phone malware threat is growing – but it’s a tiny raindrop in a thunderstorm compared to regular attacks that strike Windows computers. Slowly but slowly it’s becoming more serious (the recent discovery of financially-motivated malware that targets jailbroken iPhones is proof of that), and undoubtedly we will begin to see more users running anti-virus security on their phones in the years to come.

However, if I was responsible for securing my company’s mobile phones I would be much more worried about the real security threat of staff losing their phones in taxis or on the train, rather than the theoretical risk of surveillance rootkits.

It’s a nice video and presentation that Iftode and Ganapathy made, but I won’t be losing any sleep over it just yet.

More information on the topic of smartphone rootkits can be found in the paper Iftode and Ganapathy have produced: “Rootkits on Smart Phones: Attacks, implications and opportunities” [PDF]

Source: Surveillance rootkits on smartphones