Scoperta nuova grave vulnerabilità su Android, ma Google rassicura gli utenti
Una grave vulnerabilità di sicurezza di Android è stata scoperta e divulgata da Bluebox Security. Questa esporrebbe i dispositivi dotati del sistema operativo del robottino verde a software malevolo. Ma un fix è già stato inviato ai produttori terzi da Google
di Nino Grasso pubblicata il 31 Luglio 2014, alle 10:01 nel canale TelefoniaAndroidGoogle
I sistemi operativi più diffusi sono tradizionalmente anche quelli più bersagliati dagli hacker. A questa legge non sfugge Android, piattaforma mobile che vanta invidiabili percentuali di diffusione su scala globale. Molte società di sicurezza sostengono da tempo che la quasi totalità dei malware su mobile sono rivolti ad Android e, grazie a Bluebox, ne conosciamo una nuova, FakeID.
Secondo la società di sicurezza informatica citata da ArsTechnica, la "grave vulnerabilità" esiste su Android dal rilascio della versione 2.1 avvenuto nei primi mesi del 2010. Il nome, FakeID, è associato alle patenti di guida falsificate che usano i minorenni (negli USA) per bere alcolici. Come queste, il malware concede ad applicazioni malevole permessi speciali per risorse altrimenti non accessibili di Android.
Google ha già provveduto ad applicare delle modifiche "per limitare parzialmente i danni" su Android 4.4, tuttavia il bug permane anche sulla release d'anteprima di Android L. La vulnerabilità sfrutta un bug nella verifica dei certificati crittografici presenti in ogni applicazione installata sul dispositivo. Il sistema operativo usa questi certificati per garantire alcuni permessi speciali alle app, in modo da superare la sandbox di Android.
In condizioni normali, la sandbox impedisce ai programmi di accedere ai dati appartenenti ad altre applicazioni o parti sensibili del sistema operativo. Alcune app, tuttavia, hanno il permesso di uscire dalla sandbox, come Adobe Flash o Google Wallet, per consentire funzionalità specifiche ad altre applicazioni. Secondo Bluebox, il bug scoperto permetterebbe a un'app sviluppata ad-hoc di ottenere accessi super-privilegiati, fingendosi come Flash, Wallet o altre applicazioni che in effetti li possiedono.
Una volta installata una di queste applicazioni (ad esempio da store non controllati direttamente da Google) i dati degli utenti saranno potenzialmente a rischio. Un eventuale trojan horse precaricato potrà uscire tranquillamente dalla sandbox e recuperare qualsiasi tipologia di informazioni presente sul dispositivo in uso. Un portavoce di Google ha rilasciato il comunicato che riportiamo di seguito, rassicurando gli utenti che utilizzano esclusivamente Google Play Store.
"Apprezziamo che Bluebox ci ha responsabilmente segnalato questa vulnerabilità; la ricerca da parte di terzi è uno dei metodi che ha reso Android migliore per gli utenti. Una volta conosciuta questa vulnerabilità, abbiamo prontamente rilasciato una patch che abbiamo distribuito ai partner Android, nonché al canale AOSP. Google Play e Verify Apps sono stati migliorati per proteggere gli utenti da questo problema. Al momento, abbiamo scansionato tutte le applicazioni pubblicate su Google Play, così come quelle che Google ha revisionato fuori dal Google Play, e non abbiamo trovato tentativi di sfruttamento della vulnerabilità segnalata."
Non è la prima volta che sentiamo di vulnerabilità su Android, e non sarà probabilmente nemmeno l'ultima. Il consiglio è sempre uno, ed è quello di scaricare ed installare app per Android esclusivamente dai canali ufficiali, per evitare di incappare involontariamente in proposte fraudolente. Un consiglio di questo tipo va soprattutto a chi dispone di terminali non recentissimi o non di fascia alta, che spesso non vengono aggiornati alle ultime versioni del sistema operativo, ovvero quelle che poi andranno a contenere tutti i bug fix necessari per rimanere al sicuro da eventuali tentativi di frode informatica.
18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoMi domando se davvero cambi qualcosa a rivolgersi allo store di Google o a terzi.
CIAWA
oggi apro il thread della mia rom preferita:
Changes:
Synced with official build 6.9
Patched Fake ID security vulnerability
nemmeno il tempo di leggere la news e ho già la soluzione grazie open source
Diverso il discorso per i dispositivi Android AOSP, oltre ai market alternativi.
E' IL problema, secondo me Google deve dare un giro di vite OBBLIGANDO i produttori a fornire gli aggiornamenti per un certo numero di mesi e comunque entro X tempo dalla release se questa contien fix a bug critici come questo, pena il non avere la certificazione per l'uso dei servizi google (market in primis) per i dispositivi che non rispettano tali vincoli.
Sono perfettamente d'accordo, ma non è così semplice.
Le installazioni AOSP sono sempre più comuni, e così Google rischia che i produttori trovino soluzioni alternative, e già ora fa fatica a trattenere produttori come è avvenuto con Samsung. É tutta una questione di peso politico.
Per questo Google sta spostando quanti più servizi possibile in google play services, che è in pratica la parte del sistema che viene costantemente aggiornata.
Che quando verra' corretto, oltre il 90% dei terminali ne saranno sprovvisti per molto tempo se non per sempre.
http://www.osnews.com/story/27868/A..._security_story
http://www.osnews.com/story/27862/T...ndroid_security
Questi ci mangiano. Trovano un forellino e lo spacciano per una voragine. E poi voialtri passate giorni ad azzuffarsi su un forum.
Sono perfettamente d'accordo, ma non è così semplice.
Le installazioni AOSP sono sempre più comuni, e così Google rischia che i produttori trovino soluzioni alternative, e già ora fa fatica a trattenere produttori come è avvenuto con Samsung. É tutta una questione di peso politico.
Per questo Google sta spostando quanti più servizi possibile in google play services, che è in pratica la parte del sistema che viene costantemente aggiornata.
Mah... Non so quanto sarebbero appetibili sul mercato terminali privi di servizi google, almeno alle grandi masse.
La questione Google Play Services è delicata, non tutto potrà essere aggiornato, inoltre da quando google ha avviato questa politica (Novembre se non sbaglio) ad ogni aggiornamento il mio terminale è divenuto sempre più lento (fino a diveniere inusabile con continui blocchi, force close di app anche in uso e freeze di decine disecondi), si è riempito di app google di sistema non disinstallabili e sono stato costretto ad installare cyanogen per avere un terminale un minimo decente. Ho il sospetto che non tengano molto in considerazione modelli non recentissimi.
Io mi auguro che Android Silver vada nella direzione che dicevo sopra.
http://www.osnews.com/story/27868/A..._security_story
http://www.osnews.com/story/27862/T...ndroid_security
Questi ci mangiano. Trovano un forellino e lo spacciano per una voragine. E poi voialtri passate giorni ad azzuffarsi su un forum.
Allora, anche questa sarà l'ennesima falla difficilmente sfruttabile (almeno non senza interventi utente), ma il problema sulle politiche di aggiornamento nel mondo android esista, non possimo nasconderci dietro al fatto che finora non siano emerse falle realmente critiche.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".