Android, l'OS col buco intorno

I ricercatori di IBM identificano una nuova vulnerabilità "sistemica" su Android, una falla sfruttabile per compromettere un terminale e relativi dati sensibili senza possibilità di ritorno. La patch correttiva è già disponibile

Roma – Dopo Stagefright e Certifi-gate , l’estate nera della sicurezza Android continua con una nuova vulnerabilità scoperta dai ricercatori di IBM : questa volta il problema risiede in una classe di certificati crittografici gestiti tramite libreria OpenSSL, e come le minacce testé indicate sono potenzialmente a rischio una quantità significativa dei proprietari di gadget Android relativamente recenti.

La vulnerabilità è stata classificata come CVE-2015-3825, e riguarda la classe di certificati crittografici X.509 : un attaccante sufficientemente esperto può sfruttare la falla per eseguire codice arbitrario senza limitazioni di sorta, ottenendo gli stessi privilegi di accesso del processo system_server e compiendo ogni genere di azione malevola ai danni del gadget e dei dati dell’utente.

Grazie alla falla CVE-2015-3825, spiegano i ricercatori , a un cyber-criminale viene garantita l’opportunità di trasformare una app malevola teoricamente innocua in una “super app”, rubando informazioni a destra e a manca senza allertare in alcun modo l’OS o l’utente.

Il problema è reso ancora più grave dalla scoperta, accanto alla falla nei certificati X.509, di vulnerabilità all’interno dei kit di sviluppo (SDK) Android di terze parti capaci di semplificare il compito dei criminali: una app fasulla può essere installata senza destare sospetti, sfruttando poi il baco in OpenSSL per guadagnare privilegi di accesso superiori e avere infine accesso agli stessi dati gestiti da una app legittima precedentemente installata sul dispositivo.

I ricercatori stimano che la falla CVE-2015-3825 sia presente sul 55 per cento dei dispositivi Android, coinvolgendo le release dalla 4.3 in su, Android M incluso. Un aggiornamento in grado di risolvere il problema è già disponibile, anche se il suo arrivo nelle mani degli utenti finali è tutto fuorché scontato. Una notizia positiva è infine data dalla mancanza, almeno per il momento, di attacchi “reali” in grado di sfruttare la vulnerabilità.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Aniello Caputo scrive:
    ...
    ma che me ne frega a me di star trec
  • Altrove scrive:
    Maddai .......
    "Vulkan ha debuttato qualche mese fa come risposta multi-piattaforma alle API proprietarie quali Mantle di AMD e DirectX 12 di Microsoft".Ok, posso anche accettare che sia la risposta a DX12, ma Vulkan comprende ampie parti di Mantle, concesse senza problemi da AMD.Quindi, al limite, nasce come possibilità di portare alcune importanti evoluzioni nella gestione della grafica su altre piattaforme che non siano Windows dove, per forze di cose, DX12 sarà comunque vincente A MENO CHE VULKAN non si spicci e possa girare anche su Seven e 8. QUESTO SI sarebbe un bello schiaffone a M$ !!
    • barcollo scrive:
      Re: Maddai .......
      Giusto per chiarire, in realtà sono le dx12 ad essere sono la risposta a Mantle.Che ha scosso un pò il mercato delle API grafiche.Una volta sviluppate le DX12 che introducevo lo stesso livello di astrazione di Mantle e poiché quella fichetta di Nvidia non ha deciso di adottarle (si presume per non perdere il valore aggiunto che ha con accordi commerciali presi per le sue tecnologie proprietarie con le SW-house, in particolare nei giochi) AMD ha deciso di "regalarle" al progetto Vulkan, il cui stesso nome deriva dalla somiglianza tecnologica con Mantle.
Chiudi i commenti