Android e il bug che uccide la privacy

Roma – Android cade vittima di un nuovo baco “apocalittico”, nelle sue conseguenze potenziali, anche se il nuovo caso non sembra riguardare un rischio di (in)sicurezza quanto piuttosto una minaccia diretta e pericolosa alla privacy dell’utente.

Il bug ( CVE-2014-6041 ) è presente su Android 4.2.1 (e versioni precedenti) e coinvolge una percentuale di gadget Android stimata nel 75 per cento del totale ; sfruttando la vulnerabilità, un sito Web appositamente creato potrebbe “spiare” sui contenuti di tutte le altre pagine Web attualmente aperte sul browser, un’eventualità che i tecnici che si occupano di sicurezza hanno già descritto come un “disastro” dal punto di vista della riservatezza.

Un listato JavaScript contenente codice opportunamente scritto sarebbe in grado di bypassare i meccanismi di Same-Origin Policy (SOP) del browser carpendo ogni genere di informazione, dai cookie di autenticazione al contenuto delle email aperte sulla pagina di una webmail, e così via.

A contribuire alla pericolosità del nuovo bug ci hanno pensato gli sviluppatori di Metasploit, toolkit usato per test di penetrazioni Web che è stato appunto aggiornato con un stumento funzionante in grado di trarre vantaggio dalla vulnerabilità. I ricercatori dicono di aver già verificato l’efficacia del codice (potenzialmente) malevolo su molti terminali inclusi Qmobile Noir A20 (Android browser 4.2.1), Sony Xperia, Samsung Galaxy, HTC e Motorola.

In tutto questo si innesta anche una curiosa polemica sulla paternità della scoperta: Rafay Baloch se la attribuisce, fornendo come prova una serie di email scambiate con i tecnici Google, ma l’azienda avrebbe dapprima negato la riproducibilità del bug e in seguito anche l’eventualità che Baloch si aggiudicasse una delle taglie che Big G pone sulla testa dei bug più perniciosi del suo software.

Alfonso Maruccia