Android e il bug delle identità fasulle

I ricercatori identificano una pericolosa vulnerabilità presente all'interno dell'OS di Google, un baco che coinvolge anche i sistemi basati su Android e per cui è già disponibile una patch

Roma – I ricercatori di Bluebox Security hanno pubblicato i dettagli su “Fake ID”, identificativo di un nuovo, pericoloso bug di sicurezza presente all’interno di Android. Un bug che permette alle app malevole di camuffarsi da codice legittimo per compiere ogni genere di azione dannosa.

Fake ID si basa sul funzionamento delle firme digitali su Android, con il sistema operativo che controlla la validità di un ID ma non si cura di verificare adeguatamente da dove tali ID provengano: come risultato, una app malevola potrebbe impiegare un ID fasullo per passare il controllo dell’OS come una app legittima o addirittura facente parte del codice base del sistema.

Grazie a Fake ID un eventuale malintenzionato potrebbe ad esempio camuffare la propria app malevola come Google Wallet ottenendo l’accesso alle comunicazioni NFC e ai dati relativi ai pagamenti, oppure potrebbe passare per Adobe Systems installando un trojan in un’applicazione.

Il bug noto come Fake ID è presente su tutte le versioni di Android dalla 2.1 alla 4.4, spiegano da Bluebox Security, anche se l’ultima versione dell’OS mobile risulta essere maggiormente resistente agli exploit pensati per sfruttare il baco.

Si tratta ad ogni modo di un problema grave, profondamente radicato nel codice di Android al punto da riguardare anche le fork (commerciali oppure open) dell’OS come il sistema Fire OS di Amazon. Google dice di aver già realizzato una patch in grado di chiudere il bug, sebbene al momento non risultino casi di app malevole progettate per sfruttare la vulnerabilità.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • maxblogmo71 scrive:
    SSH
    Basta installare una connessione VPN su qualsiasi dispositivo, Android o Apple, e poi navigare sicuri con una connessione SSH con qualunque programma, tipo skype, ecc... fonte: http://www.maxpalmari.it/blog/vpn-per-mac-pc-ipad-iphone-android/
  • bubba scrive:
    domandina
    textsecure su android e' cmq costretto a usare il GCM di google. Su ipr0n come va?
  • bradipao scrive:
    codice GPLv3 nell'App Store?
    Io sapevo che il codice rilasciato sotto GPLv3 era incompatibile con l'App Store. E' cambiato qualcosa?
    • panda rossa scrive:
      Re: codice GPLv3 nell'App Store?
      - Scritto da: bradipao
      Io sapevo che il codice rilasciato sotto GPLv3
      era incompatibile con l'App Store. E' cambiato
      qualcosa?Alla fine apple sara' costretta a cedere e piegarsi alla GPLv3.
      • bertuccia scrive:
        Re: codice GPLv3 nell'App Store?
        - Scritto da: panda rossa

        Alla fine apple sara' costretta a cedere e
        piegarsi alla GPLv3.per il momento funziona così: se tu sei l'autore del software, e detieni quindi il 100% del copyright su di esso, puoi pubblicare su App Store dando ad Apple la possibilità di ignorare la libertà numero 2 espressa nella GPL (The freedom to redistribute copies so you can help your neighbor).source: http://bonsansnom.wordpress.com/2011/01/08/about-apple-store-gpls-vlc-and-betrains/
        • Elrond scrive:
          Re: codice GPLv3 nell'App Store?
          - Scritto da: bertuccia
          - Scritto da: panda rossa



          Alla fine apple sara' costretta a cedere e

          piegarsi alla GPLv3.

          per il momento funziona così: se tu sei l'autore
          del software, e detieni quindi il 100% del
          copyright su di esso, puoi pubblicare su App
          Store dando ad Apple la possibilità di ignorare
          la libertà numero 2 espressa nella GPL (The
          freedom to redistribute copies so you can help
          your
          neighbor).

          source:
          http://bonsansnom.wordpress.com/2011/01/08/about-aE voi contenti. Poveracci.
        • collione scrive:
          Re: codice GPLv3 nell'App Store?
          ehm, quindi l'autore del software dovrebbe violare la licenza? no perchè se usi una licenza non è che puoi "rinunciare" ad una delle sue clausolese vuoi rinunciare, allora scegli un'altra licenza
          • cicciobello scrive:
            Re: codice GPLv3 nell'App Store?
            Se l'autore è unico, e non usa codice di altri con particolari licenze, può mettere la licenza che vuole, o anche più di una.Le formule in dual licensing non sono una novità, molti software le usano (un esempio eclatante è la libreria QT)
Chiudi i commenti