Scoperta nuova grave vulnerabilità su Android, ma Google rassicura gli utenti

Scoperta nuova grave vulnerabilità su Android, ma Google rassicura gli utenti

Una grave vulnerabilità di sicurezza di Android è stata scoperta e divulgata da Bluebox Security. Questa esporrebbe i dispositivi dotati del sistema operativo del robottino verde a software malevolo. Ma un fix è già stato inviato ai produttori terzi da Google

di pubblicata il , alle 10:01 nel canale Telefonia
AndroidGoogle
 

I sistemi operativi più diffusi sono tradizionalmente anche quelli più bersagliati dagli hacker. A questa legge non sfugge Android, piattaforma mobile che vanta invidiabili percentuali di diffusione su scala globale. Molte società di sicurezza sostengono da tempo che la quasi totalità dei malware su mobile sono rivolti ad Android e, grazie a Bluebox, ne conosciamo una nuova, FakeID.

Bluebox, FakeID vulnerabilità Android

Secondo la società di sicurezza informatica citata da ArsTechnica, la "grave vulnerabilità" esiste su Android dal rilascio della versione 2.1 avvenuto nei primi mesi del 2010. Il nome, FakeID, è associato alle patenti di guida falsificate che usano i minorenni (negli USA) per bere alcolici. Come queste, il malware concede ad applicazioni malevole permessi speciali per risorse altrimenti non accessibili di Android.

Google ha già provveduto ad applicare delle modifiche "per limitare parzialmente i danni" su Android 4.4, tuttavia il bug permane anche sulla release d'anteprima di Android L. La vulnerabilità sfrutta un bug nella verifica dei certificati crittografici presenti in ogni applicazione installata sul dispositivo. Il sistema operativo usa questi certificati per garantire alcuni permessi speciali alle app, in modo da superare la sandbox di Android.

In condizioni normali, la sandbox impedisce ai programmi di accedere ai dati appartenenti ad altre applicazioni o parti sensibili del sistema operativo. Alcune app, tuttavia, hanno il permesso di uscire dalla sandbox, come Adobe Flash o Google Wallet, per consentire funzionalità specifiche ad altre applicazioni. Secondo Bluebox, il bug scoperto permetterebbe a un'app sviluppata ad-hoc di ottenere accessi super-privilegiati, fingendosi come Flash, Wallet o altre applicazioni che in effetti li possiedono.

Una volta installata una di queste applicazioni (ad esempio da store non controllati direttamente da Google) i dati degli utenti saranno potenzialmente a rischio. Un eventuale trojan horse precaricato potrà uscire tranquillamente dalla sandbox e recuperare qualsiasi tipologia di informazioni presente sul dispositivo in uso. Un portavoce di Google ha rilasciato il comunicato che riportiamo di seguito, rassicurando gli utenti che utilizzano esclusivamente Google Play Store.

"Apprezziamo che Bluebox ci ha responsabilmente segnalato questa vulnerabilità; la ricerca da parte di terzi è uno dei metodi che ha reso Android migliore per gli utenti. Una volta conosciuta questa vulnerabilità, abbiamo prontamente rilasciato una patch che abbiamo distribuito ai partner Android, nonché al canale AOSP. Google Play e Verify Apps sono stati migliorati per proteggere gli utenti da questo problema. Al momento, abbiamo scansionato tutte le applicazioni pubblicate su Google Play, così come quelle che Google ha revisionato fuori dal Google Play, e non abbiamo trovato tentativi di sfruttamento della vulnerabilità segnalata."

Non è la prima volta che sentiamo di vulnerabilità su Android, e non sarà probabilmente nemmeno l'ultima. Il consiglio è sempre uno, ed è quello di scaricare ed installare app per Android esclusivamente dai canali ufficiali, per evitare di incappare involontariamente in proposte fraudolente. Un consiglio di questo tipo va soprattutto a chi dispone di terminali non recentissimi o non di fascia alta, che spesso non vengono aggiornati alle ultime versioni del sistema operativo, ovvero quelle che poi andranno a contenere tutti i bug fix necessari per rimanere al sicuro da eventuali tentativi di frode informatica.

18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Ginopilot31 Luglio 2014, 10:09 #1
il problema di android e' che tanti, troppi dispositivi, anche top di gamma, spesso non ricevono gli aggiornamenti se non dopo anni, o proprio mai.
Azib31 Luglio 2014, 10:12 #2
Altro problema è che tutte le app (anche quelle a cui non servono, tipo la torcia) chiedono l'accesso alla rubrica, mesaggi ecc... Google dovrebbe limitare, e molto, l'abuso di queste richieste.
Balthasar8531 Luglio 2014, 10:24 #3
Una volta installata una di queste applicazioni (ad esempio da store non controllati direttamente da Google) i dati degli utenti saranno potenzialmente a rischio. Un eventuale trojan horse precaricato potrà uscire tranquillamente dalla sandbox e recuperare qualsiasi tipologia di informazioni presente sul dispositivo in uso.

Mi domando se davvero cambi qualcosa a rivolgersi allo store di Google o a terzi.



CIAWA
nardustyle31 Luglio 2014, 10:32 #4
xda is the way ...

oggi apro il thread della mia rom preferita:

Changes:
Synced with official build 6.9
Patched Fake ID security vulnerability




nemmeno il tempo di leggere la news e ho già la soluzione grazie open source
Mparlav31 Luglio 2014, 10:39 #5
La maggior parte degli aggiornamenti vengono ormai ricevuti tramite Google Play Services.
Diverso il discorso per i dispositivi Android AOSP, oltre ai market alternativi.
nickmot31 Luglio 2014, 11:01 #6
Originariamente inviato da: emiliano84
capita a tutti gli os con maggior market share... l'unico problema qui a differenza di altri e' il rilascio degli aggiornamenti


E' IL problema, secondo me Google deve dare un giro di vite OBBLIGANDO i produttori a fornire gli aggiornamenti per un certo numero di mesi e comunque entro X tempo dalla release se questa contien fix a bug critici come questo, pena il non avere la certificazione per l'uso dei servizi google (market in primis) per i dispositivi che non rispettano tali vincoli.
calabar31 Luglio 2014, 11:30 #7
@nickmot
Sono perfettamente d'accordo, ma non è così semplice.
Le installazioni AOSP sono sempre più comuni, e così Google rischia che i produttori trovino soluzioni alternative, e già ora fa fatica a trattenere produttori come è avvenuto con Samsung. É tutta una questione di peso politico.
Per questo Google sta spostando quanti più servizi possibile in google play services, che è in pratica la parte del sistema che viene costantemente aggiornata.
Ginopilot31 Luglio 2014, 11:58 #8
Originariamente inviato da: Bivvoz
Quello che dici è vero ma cosa cavolo centra in questo caso visto che il bug c'è anche nella 4.4.4 e nella pre di andorid L?


Che quando verra' corretto, oltre il 90% dei terminali ne saranno sprovvisti per molto tempo se non per sempre.
pabloski31 Luglio 2014, 11:58 #9
Ehm, ma prima di commentare, qualcuno si è degnato di approfondire? Leggete qua

http://www.osnews.com/story/27868/A..._security_story
http://www.osnews.com/story/27862/T...ndroid_security

Questi ci mangiano. Trovano un forellino e lo spacciano per una voragine. E poi voialtri passate giorni ad azzuffarsi su un forum.
nickmot31 Luglio 2014, 12:15 #10
Originariamente inviato da: calabar
@nickmot
Sono perfettamente d'accordo, ma non è così semplice.
Le installazioni AOSP sono sempre più comuni, e così Google rischia che i produttori trovino soluzioni alternative, e già ora fa fatica a trattenere produttori come è avvenuto con Samsung. É tutta una questione di peso politico.
Per questo Google sta spostando quanti più servizi possibile in google play services, che è in pratica la parte del sistema che viene costantemente aggiornata.


Mah... Non so quanto sarebbero appetibili sul mercato terminali privi di servizi google, almeno alle grandi masse.
La questione Google Play Services è delicata, non tutto potrà essere aggiornato, inoltre da quando google ha avviato questa politica (Novembre se non sbaglio) ad ogni aggiornamento il mio terminale è divenuto sempre più lento (fino a diveniere inusabile con continui blocchi, force close di app anche in uso e freeze di decine disecondi), si è riempito di app google di sistema non disinstallabili e sono stato costretto ad installare cyanogen per avere un terminale un minimo decente. Ho il sospetto che non tengano molto in considerazione modelli non recentissimi.

Io mi auguro che Android Silver vada nella direzione che dicevo sopra.

Originariamente inviato da: pabloski
Ehm, ma prima di commentare, qualcuno si è degnato di approfondire? Leggete qua

http://www.osnews.com/story/27868/A..._security_story
http://www.osnews.com/story/27862/T...ndroid_security

Questi ci mangiano. Trovano un forellino e lo spacciano per una voragine. E poi voialtri passate giorni ad azzuffarsi su un forum.


Allora, anche questa sarà l'ennesima falla difficilmente sfruttabile (almeno non senza interventi utente), ma il problema sulle politiche di aggiornamento nel mondo android esista, non possimo nasconderci dietro al fatto che finora non siano emerse falle realmente critiche.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^