Android: una falla colpisce il 99% dei dispositivi e mette a rischio privacy (e non solo)

di Lorenzo Paletti 3

bluebox.070313

Una nuova falla nella sicurezza di Android mette a repentaglio milioni di dispositivi, permettendo ad un malintenzionato di accedere a tutte le app installate sul device, leggere i dati salvati sul telefono, raccogliere password personali e soprattutto creare una botnet di smartphone sempre accesi, sempre collegati alla rete, in movimento e dotati di GPS.

Il problema, scoperto da Bluebox Security, riguarda i permessi concessi ad una applicazione. Le app di Android contengono una firma crittografica che previene l’installazione di software malevole. Le app firmate sono disegnate per permettere ad Android di riconoscere qualsiasi alterazione del codice, e quindi scoprire la presenza di malware.

Ma una falla presente in Android dai tempi di 1.6 Donut rende qualsiasi dispositivo Android una potenziale vittima. Grazie a questa falla sarebbe possibile scrivere una applicazione come quelle di HTC, Motorola e Samsung, cui sono forniti privilegi maggiori rispetto a quelli dati alle normali app sviluppate da terze parti. Queste applicazioni potrebbero aggirare il sistema di controllo di Google e accedere all’intero sistema operativo. L’app potrebbe quindi:

Non solo avere l’abilità di leggere dati salvati sul dispositivo (mail, messaggi SMS, documenti, etc.) ma anche ottenere dati di accesso ad account, e sostanzialmente controllare il normale funzionamento del telefono (effettuare telefonate senza permesso, inviare SMS, attivare la fotocamera e registrare telefonate).

I dettagli della falla sono stati consegnati a Google e Open Handset Alliance lo scorso febbraio, e ovviamente non sono stati resi noti. Il problema è che ora dovranno essere i produttori dei telefoni ad aggiornare il firmware dei dispositivi per risolvere la falla. Secondo una stima di BlueBox sarebbero circa 900 milioni i dispositivi che richiedono un aggiornamento del firmware per chiudere la falla di sicurezza.

L’unico device sicuro è il Samsung Galaxy S4, per il quale la compagnia coreana ha rilasciato un aggiornamento software. Google, che al momento non ha ancora commentato riguardo la questione, deve ancora aggiornare i dispositivi Nexus.

[via]