[NEWS] Android, c'è la falla

[c.m.g]

lunedì 27 ottobre 2008

Roma - È lo stesso protagonista dell'ormai celebre trick che ha portato a bucare e conquistare un MacBook Air e un premio da 10mila dollari messo in palio nel contest PWN to OWN organizzato da CanSecWest. Charles A. Miller, come lo chiama il New York Times, o Charlie Miller, come lo conoscono i più, ha provveduto a rivelare al mondo intero una falla nel neonato googlefonino distribuito al pubblico meno di una settimana fa. Che non fa molti danni, ma che ha fatto infuriare Google.

Secondo le - poche - informazioni fornite dal Miller al quotidiano statunitense, il problema riguarderebbe il browser del G1 (e di qualsiasi altro telefonino che utilizzi il nuovo sistema operativo mobile prodotto da BigG): grazie ad una imprecisata vulnerabilità dovrebbe essere possibile eseguire codice pericoloso da remoto sul cellulare, previa la visita da parte del proprietario di una pagina web appositamente creata. In questo modo sarebbe possibile installare sul terminale software pericoloso come un keylogger, o comunque in grado di alterare in qualche modo la normale fruizione della rete.

La portata del problema è stata minimizzata da Google: vista la natura a compartimenti stagni di Android, molto simile per principio allo spirito con cui è stato programmato Chrome, qualsiasi violazione del codice di un applicativo resterebbe confinata alla sandbox che lo contiene senza poter danneggiare altre parti del terminale. Miller concorda con la diagnosi, ma è indubbio che chiunque utilizzi il googlefonino per consultare il proprio conto bancario o visionare la posta elettronica non sarebbe entusiasta di scoprire che tutto quanto digita è intercettato in tempo reale (o anche in differita) da remoto.



Quanto ha davvero "mandato in bestia" i responsabili di Google per il codice di Android è stata la decisione di Miller di spifferare tutto alla stampa: l'esperto di sicurezza avrebbe "violato un codice non scritto tra aziende e ricercatori che è pensato per dare tempo ai produttori di correggere i problemi prima che vengano resi pubblici". Da parte sua, il bug hunter si difende: la sua mossa sarebbe stata dettata unicamente dal desiderio di attirare l'attenzione sul rischio che corrono i possessori di smartphone, lo stesso tipo di rischio di qualsiasi altro utente che si colleghi ad Internet con un personal computer.

Il gesto di Miller avrebbe insomma motivazioni puramente filosofiche. Nonostante però Google abbia nel frattempo già provveduto a fixare il problema nella release open source di Android, e stia lavorando spalla a spalla con T-Mobile e HTC per provvedere a risolvere il bug anche sui terminali già in circolazione, è indubbio che questa notizia solleverà qualche perplessità sulla maturità del codice del sistema operativo. Perplessità che hanno espresso anche alcuni pezzi grossi della Open Handset Alliance, e che complicano un po' il cammino di Android che ultimamente aveva assunto i toni di una marcia trionfale.

Luca Annunziata



Fonte: Punto Informatico