[Risolto] Android: DNS rebinding

Informazioni, consigli e novità sulla galassia delle distribuzioni GNU/Linux, *nix, *BSD e su altri sistemi operativi non liberi.
Avatar utente
xavier77
Gruppo Documentazione
Gruppo Documentazione
Messaggi: 7657
Iscrizione: venerdì 21 settembre 2012, 16:37
Desktop: GNOME, Xfce (e altri)
Distribuzione: X/Ubuntu 22.04/20.04 + eOS + altre
Sesso: Maschile
Contatti:

[Risolto] Android: DNS rebinding

Messaggio da xavier77 »

Ciao a tutti!
scrivo per un problema con il dispositivo della mia ragazza (smarphone con Android 4.4.2.).
In pratica da stamattina quando naviga con qualsiasi browser, su qualsiasi sito, viene reindirizzata a siti di adaware e spam di vario genere.
Ciò rende di fatto impossibile la normale navigazione. Dice di non aver installato nulla di recente e di non aver visitato pagine particolarmente sospette.

Ho provato, in ordine:
1) Eliminazione cronologia browser, pulizia con Clean Master, connessione ad altre reti wi-fi
2) Strumenti come i più comuni Antivirus e Adaware
3) Soft reset + formattazione della scheda SD
4) Hard reset con modalità recovery selezionando “wipe data / factory reset” e dopo “Yes – delete all user date”

È stato tutto inutile visto che i problemi persistono, anche dopo aver resettato e registrato lo smartphone con un altro google account.
Inoltre effettuando delle chiamate abbiamo rilevato, prima del quarto passaggio, delle notifiche per l'attivazione di comandi codice ussd.

Io non sono espertissimo del SO del robottino verde (anzi!). E non saprei come procedere (su internet ho trovato chi aveva problemi simili, ma non soluzioni).
Mi sono pure iscritto su un forum per Android. Ma qui passa sempre gente competente, tentar non nuoce :)
Spero in consigli sul da farsi, perchè brancoliamo nel buio :ciao:
Ultima modifica di xavier77 il martedì 24 febbraio 2015, 9:50, modificato 1 volta in totale.
Avatar utente
xavier77
Gruppo Documentazione
Gruppo Documentazione
Messaggi: 7657
Iscrizione: venerdì 21 settembre 2012, 16:37
Desktop: GNOME, Xfce (e altri)
Distribuzione: X/Ubuntu 22.04/20.04 + eOS + altre
Sesso: Maschile
Contatti:

Re: [ANDROID] Reindirizzamento siti spam adware su browser

Messaggio da xavier77 »

Aggiornamento dopo ulteriori controlli :
Ho scaricato un'app per impostare i DNS sulla rete wi-fi. Ho notato quello secondario che era di Google e quello primario che era un ip "strano".
Con un servizio online ho visto che era localizzato in Ucraina. :mad:
Se mi connetto infatti dopo aver usato l'app con il browser la navigazione sembra ok. Con altre app (tipo un news feeder) il problema si ripresenta.
Credo sia dovuto al fatto che alcune app (se non ricordo male, con "minibrowser integrato") prendono gli indirizzi DSN direttamente dal router.

Sono portato quindi a pensare invece che si tratti di "un'infezione" del router. Ciò spiegherebbe il fatto che da pc non mi sono accorto di nulla (uso DSN preimpostati, mentre tablet e smartphone usano di solito DHCP e non ip statici).
Mi tocca quindi appena possibile dare un'occhiata alle configurazioni del router.

PS: se così fosse, chi ce lo dice alla mia ragazza che ho resettato il telefono per nulla?! :p

EDIT: ero proprio fuori strada. Ho verificato che il problema non è di Android!
(O meglio, sarebbe risolvibile se Android non avesse deciso di non permettere più il cambio dei DNS. Si può fare solo da root).
Avatar utente
xavier77
Gruppo Documentazione
Gruppo Documentazione
Messaggi: 7657
Iscrizione: venerdì 21 settembre 2012, 16:37
Desktop: GNOME, Xfce (e altri)
Distribuzione: X/Ubuntu 22.04/20.04 + eOS + altre
Sesso: Maschile
Contatti:

Re: [ANDROID] Reindirizzamento siti spam adware su browser

Messaggio da xavier77 »

Confermo che il problema non era in Android, ma risiedeva nel router!
Android di suo ha causato il problema (credo proprio che lo script malevolo che cambia i DNS sia partito da lì) e sui dispositivi Android non è più possibile neanche bypassare il fenomeno al 100% (non è possibile cambiare DNS dalle impostazioni senza root; ci sono delle buone app nel Playstore che impostano temporaneamente i DNS desiderati, ma non su tutti i browser).

Il problema del DNS rebinding dei siti si è anche verificato sul mio tablet.

Io ho risolto così:
1) Cancellazione della cronologia di rete e navigazione da tutti i dispositivi connessi al wi-fi (pc compresi)
2) Reset del router
3) Impostazione nel router di DNS fissi (ne esistono tanti di sicuri, tipo i Google Public DNS o gli OpenDNS)
4) Attivare l'ACL impostando LAN al posto di WAN (modifiche soltanto dalla rete interna)
5) Il passaggio più importante: cambio della password del router (da non confondere con quella del wi-fi! ne ho messa una più sicura, con più di 20 caratteri alfanumerici maiuscoli/minuscoli + caratteri speciali). Mai e poi mai lasciare quelle di fabbrica tipo "ADMIN" O "PASSWORD"!

Per questo tipo di attacchi dovrebbe essere più che sufficiente. Se invece in futuro ce ne saranno di più forti e complessi, mi toccherà comperare un nuovo router con opzioni di sicurezza più recenti.
:ciao:
Ultima modifica di xavier77 il venerdì 27 febbraio 2015, 0:35, modificato 1 volta in totale.
Pike
Rampante Reduce
Rampante Reduce
Messaggi: 5460
Iscrizione: domenica 20 gennaio 2008, 1:13
Desktop: Kubuntu
Distribuzione: 20.04 x64
Contatti:

Re: [RISOLTO]Android: DNS rebinding

Messaggio da Pike »

Ciao Xavier,
forse tu ora hai risolto, ma magari il router ha una vulnerabilità che rischia di ripresentarsi...

E' possibile sapere marca, modello, versione e versione firmware del router in oggetto?
Sono colui che fa cose che non servono...
Secondo Principio di Dilbert, di Scott Adams. "Si parte dalla certezza che siamo tutti idioti". Ed alcuni su questo mi ab-battono alla grande.
Come certificato dalla moderazione, incivile e maleducato. You have been warned.
Avatar utente
xavier77
Gruppo Documentazione
Gruppo Documentazione
Messaggi: 7657
Iscrizione: venerdì 21 settembre 2012, 16:37
Desktop: GNOME, Xfce (e altri)
Distribuzione: X/Ubuntu 22.04/20.04 + eOS + altre
Sesso: Maschile
Contatti:

Re: [RISOLTO]Android: DNS rebinding

Messaggio da xavier77 »

Il router è un Huawei (ora non sono a casa, non ricordo il nome), modello non antico ma manco recente. Ha l'ultimo firmaware disponibile.
Il problema di cui nel topic dubito che si ripresenti.
Come ho scritto sopra, ho intenzione di cambiare modem/router (dovrò comunque farlo, visto che non è recente e fra un po' diventerà decisamente vecchio).
Chiaro che se poi salteranno fuori altre vulnerabilità lo sostituirò immediatamente.
Scrivi risposta

Ritorna a “Altre distribuzioni e sistemi operativi”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 9 ospiti