La quasi totalità dei dispositivi basati su Android sono a rischio ma questa volta a mettere a repentaglio la sicurezza della piattaforma mobile del robottino verde non è nè un’applicazione infetta nè una nuova minaccia bensì un bug insisto nel sistema operativo sin dalla relase 1.6.
È esattamente quoto quanto emerso da un report di Bluebox Security mediante il quale è stato possibile apprendere che tale falla è presente sulla piattaforma mobile di big G sin dalla relase conosciuta con il nome di Donut, quella rilasciata a settembre del 2009, e che oggi rende potenzialmente vulnerabile al codice maligno circa il 99% dei dispositivi Android in commercio.
Generalmente le applicazioni sono verificate mediante un sistema di firme crittografiche che consente di evitare l’esecuzione di aggiornamenti non aventi la medesima chiave fornita dallo sviluppatore. Bluebox Security ha fatto sapere di aver scoperto come modificare il file APK senza andare ad agire sulla parte di codice in questione.
Nel caso in cui a sfruttare tale metodo siano eventuali malintenzionati questi potrebbero consentire l’invio agli utenti di pacchetti corrotti o pericolosi. Tali pacchetti potrebbero dunque essere installati all’insaputa dell’utente.
Una volta stabilitosi nella memoria interna del device il malware può anche prenderne il controllo completo rendendo lo smartphone o il tablet in questione parte di una botnet oppure accedendo a dati personali per inviarli a server esterni.
Un attacco di questo tipo, però, non può essere messo in atto mediante Google Play poichè big G controlla e gestisce tutte le app disponibili per il download.
Una situazione del genere potrebbe quindi verificarsi solo e soltanto qualora vengano sfruttati store di terze parti o app distribuite tramite posta elettronica e siti web.
In teoria, quindi, la vulnerabilità dovrebbe diventare un rischio solo qualora venga attivata l’opzione Origini sconosciute ma al momento la cosa non è ancora molto chiara.
La falla, comunque, è già stata comunicata a Google a febbraio dello scorso anno ma big G ha scelto di non intervenire direttamente delegando la risoluzione della cosa ai produttori di device mediante il rilascio di patch apposite e di nuovi firmware.