Android e il bug che uccide la privacy

Android cade vittima di un nuovo baco “apocalittico”, nelle sue conseguenze potenziali, anche se il nuovo caso non sembra riguardare un rischio di (in)sicurezza quanto piuttosto una minaccia diretta e pericolosa alla privacy dell’utente.

Il bug ( CVE-2014-6041 ) è presente su Android 4.2.1 (e versioni precedenti) e coinvolge una percentuale di gadget Android stimata nel 75 per cento del totale ; sfruttando la vulnerabilità, un sito Web appositamente creato potrebbe “spiare” sui contenuti di tutte le altre pagine Web attualmente aperte sul browser, un’eventualità che i tecnici che si occupano di sicurezza hanno già descritto come un “disastro” dal punto di vista della riservatezza.

Un listato JavaScript contenente codice opportunamente scritto sarebbe in grado di bypassare i meccanismi di Same-Origin Policy (SOP) del browser carpendo ogni genere di informazione, dai cookie di autenticazione al contenuto delle email aperte sulla pagina di una webmail, e così via.

A contribuire alla pericolosità del nuovo bug ci hanno pensato gli sviluppatori di Metasploit, toolkit usato per test di penetrazioni Web che è stato appunto aggiornato con un stumento funzionante in grado di trarre vantaggio dalla vulnerabilità. I ricercatori dicono di aver già verificato l’efficacia del codice (potenzialmente) malevolo su molti terminali inclusi Qmobile Noir A20 (Android browser 4.2.1), Sony Xperia, Samsung Galaxy, HTC e Motorola.

In tutto questo si innesta anche una curiosa polemica sulla paternità della scoperta: Rafay Baloch se la attribuisce, fornendo come prova una serie di email scambiate con i tecnici Google, ma l’azienda avrebbe dapprima negato la riproducibilità del bug e in seguito anche l’eventualità che Baloch si aggiudicasse una delle taglie che Big G pone sulla testa dei bug più perniciosi del suo software.

Alfonso Maruccia