Vulnerabilità Android mette a rischio quasi tutti i terminali

Vulnerabilità Android mette a rischio quasi tutti i terminali

Bluebox ha segnalato una vulnerabilità ancora irrisolta che riguarda pressochè tutti i terminali android in circolazione a partire dalla versione 1.6 del sistema operativo mobile. Nelle prossime settimane saranno disponibili nuove informazioni

di pubblicata il , alle 12:24 nel canale Sicurezza
Android
 

Nelle scorse ore è stato evidenziato un importante problema di sicurezza relativo a Android e, pare, che la vulnerabilità in questione sia presente a partire dalla versione 1.6 del sistema operativo mobile di Google. A segnalare la situazione piuttosto critica è Bluebox - società di ricerca impegnata nella sicurezza online - che indica come il 99% dei dispositivi in circolazione siano potenzialmente a rischio.

Oltre all'elevata diffusione del problema anche i rischi ad esso connessi sono preoccupanti, infatti Bluebox segnala che la vulnerabilità mette un malintenzionato nelle condizioni di poter aggiungere istruzione al codice di qualsiasi applicazione senza che venga alterata la firma crittografica. L'integrità dell'applicazione modificata verrà quindi validata in base alla corretta firma crittografica.

Nello scenario peggiore è quindi possibile inserire in qualunque app Android codice malevolo come trojan, keylogger o altro codice utile a sottrarre informazioni presenti sul dispositivo. In scenari Bring your own device (BYOD) è sicuramente preoccupante la possibilità di accedere a risorse e informazioni aziendali attraverso un terminale Android affetto da questa vulnerabilità.

Bluebox ha segnalato il problema a Google già durante il mese di febbraio ma la risoluzione dello stesso e la relativa distribuzione di nuovo firmware ricade sui singoli produttori di dispositivi, solitamente mai molto puntuali nel garantire supporto anche a versioni non recenti di Android. Alcune fonti online indicano che Samsung ha già provveduto all'aggiornamento dei propri terminali Galaxy S4 ma pare che questa situazione rappresenti una vera eccezione.

Tutti i dettagli in merito alla vulnerabilità e alla potenziale pericolosità verranno resi pubblici in occasione dell'evento Black Hat USA 2013 che si terrà a Las Vegas a partire dal 27 luglio. Per il momento il consiglio per gli utenti rimane il solito: installare le applicazioni solo utilizzando Google Play e mantenere costantemente aggiornato il proprio dispositivo.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

31 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Beltra.it05 Luglio 2013, 12:45 #1
ovviamente solo all's4... s3 e company no.. perchè ormai per samsung non esistono più...

sarà anche il motivo del ritardo di android 4.3? o quel che è?
calabar05 Luglio 2013, 13:05 #2
Più che altro mi sembra assurdo che Google abbia relegato ai produttori il compito di sistemare la falla.
Quindi chi ha un nexus non la vedrà mai risolta?

In ogni caso vorrei capire il livello di rischio: se installo esclusivamente dal google play e se il mio dispositivo non è già infetto per altri motivi, il rischio non dovrebbe essere annullato?
Ale199205 Luglio 2013, 13:06 #3
Originariamente inviato da: Beltra.it
ovviamente solo all's4... s3 e company no.. perchè ormai per samsung non esistono più...

sarà anche il motivo del ritardo di android 4.3? o quel che è?


Già, è una delle cose che odio di piu di Samsung, oltre ai materiali penosi. Comunque il ritardo potrebbe essere dovuto a problemi di questo tipo o piu semplicemente aspettano il nuovo googlefonino per lanciare la nuova release (si spera priva di questa vulnerabilità. Però non ho ben capito una cosa, nella news si consiglia di scaricare solo app del playstore, quindi da questo si deduce che il problema riguarda le app di dubbia provenieneza, ma allora non capisco dove sta la novità, ormai tutti sanno che questa specie di virus per smarphone si trovano nelle app al di fuori del playstore, e penso che ci siano ben poche persone che guardano la firma digitale dell'applicazione, si sono persone che non sanno nemmeno cos'è, quindi a mio avviso non c'è niente di nuovo o di così preoccupante, le preoccupazioni la avranno quelli che abitualmente scaricano app da qualsiasi sito e sopratutto chi usa app piratate, e in quel caso ben gli sta se si beccano virus.
recoil05 Luglio 2013, 13:08 #4
se è la falla di cui ho letto ieri non ci dovrebbero essere problemi installando app da fonti sicure, quindi è facile bucare il sistema solo se si riesce a far scaricare il pacchetto dall'esterno del market

comunque è un bug da risolvere...
moddingpark05 Luglio 2013, 13:27 #5
Il fatto di lasciare ai produttori dei dispositivi la responsabilità di aggiornare il sistema operativo è forse uno dei pochi e il peggiore dei difetti di Android.

Google dovrebbe essere l'unico a rilasciare aggiornamenti di Android, pubblicando l'eventuale lista delle incompatibilità (per via di hardware datato), e ai produttori di telefoni rimarrebbe soltanto il compito di mantenere le funzionalità aggiuntive e l'interfaccia grafica custom, in caso contrario l'utente avrebbe a disposizione un'interfaccia standard di Android.

Non mi sembra così complicato da fare, tanto le architetture degli smartphone Android non sono complesse e pressoché tutte basate su ARM.
marchigiano05 Luglio 2013, 13:37 #6
azz ma non possono fare una app che risolve il problema per tutti i terminali? mica tutti usano il tel solo per facebook e minchiate varie... c'è anche chi ci fa robe serie e se gli rubano i dati sono $$$$$$$ che se ne vanno
Spectrum7glr05 Luglio 2013, 13:56 #7
ma cosa vi aspettate da un OS che riceve un numero insignificante di aggiornamenti di sicurezza?
vash7905 Luglio 2013, 14:05 #8
Originariamente inviato da: calabar
Quindi chi ha un nexus non la vedrà mai risolta?


se parli del Samsung Galxy Nexus è un Android puro e gli aggiornamenti li rilascia direttamente Google, quindi non vedo perché non dovrebbe vedersela risolta. me compreso.
pabloski05 Luglio 2013, 14:19 #9
Originariamente inviato da: calabar
Più che altro mi sembra assurdo che Google abbia relegato ai produttori il compito di sistemare la falla.
Quindi chi ha un nexus non la vedrà mai risolta?


E che dovrebbe fare google? Minacciare samsung, htc e soci con la pistola?

Google il bug l'ha corretto e, anzi, ha modificato il play store per non permettere l'installazione di apk taroccati.

Sta agli oem decidere se aggiornare o meno i propri terminali.

E' come dire che ms è responsabile se un utente usa ancora windows 95, su cui c'è una falla che non è stata corretta.
marchigiano05 Luglio 2013, 14:42 #10
Originariamente inviato da: pabloski
E' come dire che ms è responsabile se un utente usa ancora windows 95, su cui c'è una falla che non è stata corretta.


S3 o N7000 sono "leggermente" più recenti di win95 però...

ma quindi sull'app store c'è roba sicura al 100%? chi non roota sta tranquillo?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^