SICUREZZA INFORMATICA – Gli aggiornamenti sono un rischio ecco cosa ci espone agli hacker

Duo Securety, la compagnia di sicurezza informatica di Ann Arbor, Michigan, torna a fare notizia dopo aver svelato, pochi giorni fa, che un quarto dei dispositivi Windows monta versioni obsolete di Explorer esponendosi così a 700 vulnerabilità. Nell’ultimo rapporto ha messo sotto la lente i cinque principali produttori di pc al mondo – HP, Dell, Acer, Lenovo e Asus – testando i livelli di sicurezza dei loro programmi di aggiornamento, gli “updater”.

Si tratta dei software che a loro volta si occupano di mettere in comunicazione le nostre macchine con i server di Microsoft (Apple non è stata analizzata ma in questo senso, non autorizzando terze parti, è in assoluto la più sicura) e di altri produttori per consentire l’aggiornamento del firmware, la piattaforma su cui gira il sistema operativo. Bene, anzi male: questi meccanismi presentano diversi rischi lasciando i pc sostanzialmente nudi di fronte a possibili attacchi.
I ricercatori del Duo Labs hanno infatti scoperto che in tutti i sistemi messi a punto dai produttori analizzati per scaricare automaticamente gli aggiornamenti presentano almeno una vulnerabilità di elevato livello. Un buco, insomma, che concederebbe a un qualsiasi attaccante la possibilità di eseguire codici malevoli sul pc per guadagnarne il completo controllo. Il tutto senza particolari abilità e senza che alcuna protezione, dai firewall agli antivirus fino alle funzioni dei browser, possa intervenire in modo efficace. Questo perché i file malevoli possono sfruttare l’autostrada dell’updater preinstallato, fornita delle massime autorizzazioni per intervenire nei meandri del firmware, per infiltrarsi nel pc.

Le vulnerabilità sono condivise da tutti e cinque i produttori. C’è per esempio la trasmissione degli aggiornamenti attraverso un protocollo non sicuro come l'”http”, l’assenza di certificazione negli stessi file degli aggiornamento o di validazione dei cosiddetti “manifest file”, gruppi di metadati che accompagnano i pacchetti trasmessi da uno dei server principali, spesso in modo non protetto. Tutte carenze che consentono in teoria agli hacker di condurre attacchi di tipo “man-in- the-middle”, fornendo cioè al computer file formalmente in linea con quelli attesi ma di fatto compromessi, in grado di manipolare il computer a piacimento. Anche passando semplicemente dai “file manifesto”, che sono intercettabili e modificabili magari estromettendo alcuni aggiornamenti di sicurezza o aggiungendone altri indesiderati. Secondo il rapporto è per esempio accaduto con macchine HP e Asus.

“Non serve molto a un software per far fuori l’efficacia di molte se non tutte le difese” si legge nel documento. “Ci sono miriadi di modi per abusare dei bug di comando – ha spiegato il ricercatore Darren Kamp – praticamente ogni azione possibile all’amministratore del sistema si può fare tramite i comandi inclusi nei file manifesto”. Il problema, occorre ribadirlo, non sta nei sistemi operativi o negli aggiornamenti ma, per così dire, nel canale predisposto dai produttori per installarli sulle singole macchine. Un po’ come il “finger” di un aeroporto è di competenza dello scalo mentre l’aeroplano della compagnia: quando i passeggeri escono o entrano passano da uno standard di sicurezza interno all’apparecchio a quello dell’aeroporto e viceversa tramite il tunnel d’imbarco.

Non solo firmware. Gli updater preinstallati sui computer servono ad aggiornare una quantità di programmi e programmini, specialmente i cosiddetti “bloatware” (servizi aggiuntivi del produttore, versioni prova eventualmente precaricate, adware per i browser e così via, tutta roba che non useremo praticamente mai e che però succhia i suoi aggiornamenti). Per farlo i software di update indirizzano non solo ai server del produttore, tendenzialmente più sicuri, ma, innalzando di molto i rischi, anche verso quelli di terze parti. Delle 12 vulnerabilità individuate i cinque produttori ne hanno manifestata almeno una di alto livello, in grado di agevolare l’esecuzione arbitraria di codice tramite banali exploit. Fra gli update più sicuri ci sono quelli della statunitense Dell, alla seconda piazza HP (che trasmette i suoi aggiornamenti via https e li certifica ma non valida i file manifesto) e via a scorrere con Lenovo (che ha sfoderato il migliore, e il peggiore updater, rispettivamente Lenovo Solutions Centers e UpdateAgent), Acer ed Asus.