Android, sicurezza bucata

Trittico di mancata sicurezza per l'OS di Google: un baco vecchio di anni, una vulnerabilità di Skype e una comunicazione "segreta" dei terminali Motorola che si fa beffe della privacy
Trittico di mancata sicurezza per l'OS di Google: un baco vecchio di anni, una vulnerabilità di Skype e una comunicazione "segreta" dei terminali Motorola che si fa beffe della privacy

I ricercatori di Bluebox Labs hanno individuato una vulnerabilità di Android in circolazione da anni, un problema che riguarda “il 99 per cento” dei gadget basati sull’OS di Google a partire da Android 1.6 (“Donut”) in poi.

Il baco consiste nella possibilità di bypassare il controllo di sicurezza delle firme crittografiche presenti sulle app da installare, un modo per modificare il package .apk contenente l’applicazione senza invalidare la firma così da poter camuffare un software malevolo da software perfettamente legittimo.

L’esistenza della vulnerabilità è stata comunicata a Google già dal febbraio 2013, spiegano i ricercatori, ma per quanto riguarda le patch dei singoli dispositivi sta ai produttori OEM decidere se e quando aggiornare. Samsung ha già corretto il problema sul Samsung Galaxy S4, mentre la linea Nexus – commercializzata dalla stessa Google – ancora attende novità in merito.

Non bastassero i problemi interni alla piattaforma Android, anche le app mobile sono portatrici di problemi di sicurezza assortiti. Ultima arrivata in tal senso è Skype, che nelle versioni precedenti alla 4.0 porgono il fianco alla possibilità di bypassare il lock-screen senza autorizzazione.

I produttori di gadget mobile dovrebbero pensare alla sicurezza dei dispositivi che immettono sul mercato, ma apparentemente Motorola sarebbe più interessata a raccogliere informazioni sensibili e private sui suoi utenti – su terminale Droid X2 – tramite comunicazioni non autorizzate dall’utente e senza protezione crittografica.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

04 07 2013
Link copiato negli appunti