Qualche giorno fa Bluebox Security ha pubblicato un report indicante l’esistenza di una grave falla presente sulla quasi totalità dei device basati su Android ed insita nella piattaforma sin dalla relase Donut.
A tal proposito, da poche ore a questa parte Google ha comunicato di aver sviluppato un’apposita patch. L’aggiornamento è già stato inviato ai produttori di dispositivi Android che provvederanno a loro volta a distribuirlo agli utenti.
Pur essendo stata rilasciata la patch è tuttavia opportuno sottolineare il fatto che molti utenti Android sono ancora in pericolo.
Infatti non è assolutamente da dare per certo che i produttori provvedano ad aggiornare anche tutta quella gran quantità di smartphone e tablet in commercio da più di tre anni. Molto probabilmente tale situazione non si verificherà mai. In questo caso l’unica alternativa resta quella dell’installazione di una ROM non ufficiale, un’operazione questa che non è però alla portata di tutti.
Unitamente al rilascio della patch sono state inoltre sviluppate ulteriori teorie in merito al funzionamento della falla che permetteva di modificare i file APK senza dover andare ad agire sulla chiave crittografia impiegata per la firma delle applicazioni.
Molte applicazioni sono distribuite in formato APK, JAR o ZIP ed Android effettua una scansione di questi file per individuare eventuali malware. A detta di alcuni esperti il problema starebbe quindi nell’ordine in cui il sistema operativo rileva la presenza della firma digitale.
Per aggirare il sistema di protezione è infatti sufficiente inserire nell’archivio un file modificato prima di quello originale. In questo modo Android vede il file non modificato con una firma valida e permette l’installazione del file infetto.