Google, sicurezza con lo smartphone degli altri

Un gruppo di ricercatori al soldo di Mountain View parte alla ricerca di vulnerabilità sul Samsung Galaxy S6 Edge, e alla fine la caccia si rivela proficua. Nel mentre l'update mensile per Nexus corregge falle simili a quelle che affliggevano Stagefright
Un gruppo di ricercatori al soldo di Mountain View parte alla ricerca di vulnerabilità sul Samsung Galaxy S6 Edge, e alla fine la caccia si rivela proficua. Nel mentre l'update mensile per Nexus corregge falle simili a quelle che affliggevano Stagefright

I ricercatori del team Project Zero di Google hanno passato una settimana a verificare la presenza di bug di sicurezza su Samsung Galaxy S6 Edge, terminale Android apparentemente scelto per la sua popolarità e per ribadire il concetto: la colpa dell’insicurezza dell’OS mobile va ascritta in buona parte ai produttori OEM .

La caccia di vulnerabilità sul Galaxy S6 Edge è stata gestita sotto forma di “contest” fra i membri nordamericani ed europei di Project Zero, dicono i ricercatori , tutti alle prese con tre diverse sfide rappresentative degli scenari di attacco tipici contro i terminali Android.
In dettaglio, gli analisti avrebbero dovuto ottenere l’accesso a contatti, foto e messaggi da remoto, attraverso una app installata da Play senza permessi, o eseguire codice in maniera “persistente” anche dopo la formattazione del terminale.

Alla fine della loro settimana di “lavoro”, gli smanettoni di Project Zero hanno raggiunto ampiamente l’obiettivo che si erano prefissati scovando ben 11 vulnerabilità “critiche” all’interno dei driver e del software con cui Samsung ha personalizzato Android per il Galaxy S6 Edge.

Delle 11 falle riportate da Project Zero, Samsung ne ha già richiuse otto ; tre bug, con livello di pericolosità inferiore rispetto agli altri (CVE-2015-7893, CVE-2015-7895 e CVE-2015-7898), sono ancora in attesa della distribuzione di una patch correttiva.

Ma gli sforzi profusi da Google per migliorare la sicurezza di Android non si concentrano sulla sola disclosure , e la corporation dell’advertising ha cominciato a tenere fede alla promessa fatta di recente con l’ arrivo del bollettino di sicurezza mensile per terminali Nexus relativo al mese di novembre.
La comunicazione diramata da Mountain View riguarda sette falle di sicurezza individuate nei componenti per la gestione dei contenuti multimediali su Android, due dei quali classificati come critici, quattro con livello di severità “alto” e uno con pericolosità “moderata”.

Dopo il caso Stagefright , l’aspetto più preoccupante della (in)sicurezza di Android continua a essere quello multimediale: a 48 ore dalla distribuzione per Android 5.1 e 6.0 su Nexus, le patch sono ora arrivate nella versione open source dell’OS. Toccherà ora ai singoli produttori implementare i correttivi nelle rispettive distribuzioni commerciali del sistema.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

04 11 2015
Link copiato negli appunti