Scoperta nuova grave vulnerabilità su Android, ma Google rassicura gli utenti

Scoperta nuova grave vulnerabilità su Android, ma Google rassicura gli utenti

Una grave vulnerabilità di sicurezza di Android è stata scoperta e divulgata da Bluebox Security. Questa esporrebbe i dispositivi dotati del sistema operativo del robottino verde a software malevolo. Ma un fix è già stato inviato ai produttori terzi da Google

di pubblicata il , alle 10:01 nel canale Telefonia
AndroidGoogle
 

I sistemi operativi più diffusi sono tradizionalmente anche quelli più bersagliati dagli hacker. A questa legge non sfugge Android, piattaforma mobile che vanta invidiabili percentuali di diffusione su scala globale. Molte società di sicurezza sostengono da tempo che la quasi totalità dei malware su mobile sono rivolti ad Android e, grazie a Bluebox, ne conosciamo una nuova, FakeID.

Bluebox, FakeID vulnerabilità Android

Secondo la società di sicurezza informatica citata da ArsTechnica, la "grave vulnerabilità" esiste su Android dal rilascio della versione 2.1 avvenuto nei primi mesi del 2010. Il nome, FakeID, è associato alle patenti di guida falsificate che usano i minorenni (negli USA) per bere alcolici. Come queste, il malware concede ad applicazioni malevole permessi speciali per risorse altrimenti non accessibili di Android.

Google ha già provveduto ad applicare delle modifiche "per limitare parzialmente i danni" su Android 4.4, tuttavia il bug permane anche sulla release d'anteprima di Android L. La vulnerabilità sfrutta un bug nella verifica dei certificati crittografici presenti in ogni applicazione installata sul dispositivo. Il sistema operativo usa questi certificati per garantire alcuni permessi speciali alle app, in modo da superare la sandbox di Android.

In condizioni normali, la sandbox impedisce ai programmi di accedere ai dati appartenenti ad altre applicazioni o parti sensibili del sistema operativo. Alcune app, tuttavia, hanno il permesso di uscire dalla sandbox, come Adobe Flash o Google Wallet, per consentire funzionalità specifiche ad altre applicazioni. Secondo Bluebox, il bug scoperto permetterebbe a un'app sviluppata ad-hoc di ottenere accessi super-privilegiati, fingendosi come Flash, Wallet o altre applicazioni che in effetti li possiedono.

Una volta installata una di queste applicazioni (ad esempio da store non controllati direttamente da Google) i dati degli utenti saranno potenzialmente a rischio. Un eventuale trojan horse precaricato potrà uscire tranquillamente dalla sandbox e recuperare qualsiasi tipologia di informazioni presente sul dispositivo in uso. Un portavoce di Google ha rilasciato il comunicato che riportiamo di seguito, rassicurando gli utenti che utilizzano esclusivamente Google Play Store.

"Apprezziamo che Bluebox ci ha responsabilmente segnalato questa vulnerabilità; la ricerca da parte di terzi è uno dei metodi che ha reso Android migliore per gli utenti. Una volta conosciuta questa vulnerabilità, abbiamo prontamente rilasciato una patch che abbiamo distribuito ai partner Android, nonché al canale AOSP. Google Play e Verify Apps sono stati migliorati per proteggere gli utenti da questo problema. Al momento, abbiamo scansionato tutte le applicazioni pubblicate su Google Play, così come quelle che Google ha revisionato fuori dal Google Play, e non abbiamo trovato tentativi di sfruttamento della vulnerabilità segnalata."

Non è la prima volta che sentiamo di vulnerabilità su Android, e non sarà probabilmente nemmeno l'ultima. Il consiglio è sempre uno, ed è quello di scaricare ed installare app per Android esclusivamente dai canali ufficiali, per evitare di incappare involontariamente in proposte fraudolente. Un consiglio di questo tipo va soprattutto a chi dispone di terminali non recentissimi o non di fascia alta, che spesso non vengono aggiornati alle ultime versioni del sistema operativo, ovvero quelle che poi andranno a contenere tutti i bug fix necessari per rimanere al sicuro da eventuali tentativi di frode informatica.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

25 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Ginopilot31 Luglio 2014, 10:09 #1
il problema di android e' che tanti, troppi dispositivi, anche top di gamma, spesso non ricevono gli aggiornamenti se non dopo anni, o proprio mai.
Azib31 Luglio 2014, 10:12 #2
Altro problema è che tutte le app (anche quelle a cui non servono, tipo la torcia) chiedono l'accesso alla rubrica, mesaggi ecc... Google dovrebbe limitare, e molto, l'abuso di queste richieste.
Balthasar8531 Luglio 2014, 10:24 #3
Una volta installata una di queste applicazioni (ad esempio da store non controllati direttamente da Google) i dati degli utenti saranno potenzialmente a rischio. Un eventuale trojan horse precaricato potrà uscire tranquillamente dalla sandbox e recuperare qualsiasi tipologia di informazioni presente sul dispositivo in uso.

Mi domando se davvero cambi qualcosa a rivolgersi allo store di Google o a terzi.



CIAWA
nardustyle31 Luglio 2014, 10:32 #4
xda is the way ...

oggi apro il thread della mia rom preferita:

Changes:
Synced with official build 6.9
Patched Fake ID security vulnerability




nemmeno il tempo di leggere la news e ho già la soluzione grazie open source
Mparlav31 Luglio 2014, 10:39 #5
La maggior parte degli aggiornamenti vengono ormai ricevuti tramite Google Play Services.
Diverso il discorso per i dispositivi Android AOSP, oltre ai market alternativi.
emiliano8431 Luglio 2014, 10:54 #6
capita a tutti gli os con maggior market share... l'unico problema qui a differenza di altri e' il rilascio degli aggiornamenti
Bivvoz31 Luglio 2014, 11:00 #7
Originariamente inviato da: Ginopilot
il problema di android e' che tanti, troppi dispositivi, anche top di gamma, spesso non ricevono gli aggiornamenti se non dopo anni, o proprio mai.


Quello che dici è vero ma cosa cavolo centra in questo caso visto che il bug c'è anche nella 4.4.4 e nella pre di andorid L?
nickmot31 Luglio 2014, 11:01 #8
Originariamente inviato da: emiliano84
capita a tutti gli os con maggior market share... l'unico problema qui a differenza di altri e' il rilascio degli aggiornamenti


E' IL problema, secondo me Google deve dare un giro di vite OBBLIGANDO i produttori a fornire gli aggiornamenti per un certo numero di mesi e comunque entro X tempo dalla release se questa contien fix a bug critici come questo, pena il non avere la certificazione per l'uso dei servizi google (market in primis) per i dispositivi che non rispettano tali vincoli.
emiliano8431 Luglio 2014, 11:24 #9
Originariamente inviato da: nickmot
E' IL problema, secondo me Google deve dare un giro di vite OBBLIGANDO i produttori a fornire gli aggiornamenti per un certo numero di mesi e comunque entro X tempo dalla release se questa contien fix a bug critici come questo, pena il non avere la certificazione per l'uso dei servizi google (market in primis) per i dispositivi che non rispettano tali vincoli.


non ho voluto calcare la mano, avendo altre preferenze, se no ti lascio immaginare i commenti dei fanboy/haters
calabar31 Luglio 2014, 11:30 #10
@nickmot
Sono perfettamente d'accordo, ma non è così semplice.
Le installazioni AOSP sono sempre più comuni, e così Google rischia che i produttori trovino soluzioni alternative, e già ora fa fatica a trattenere produttori come è avvenuto con Samsung. É tutta una questione di peso politico.
Per questo Google sta spostando quanti più servizi possibile in google play services, che è in pratica la parte del sistema che viene costantemente aggiornata.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^