Roma - È lo stesso protagonista dell'ormai celebre
trick che
ha portato a bucare e conquistare un MacBook Air e un premio da 10mila dollari messo in palio nel contest
PWN to OWN organizzato da
CanSecWest.
Charles A. Miller, come lo chiama il
New York Times, o
Charlie Miller, come lo conoscono i più, ha provveduto a rivelare al mondo intero
una falla nel neonato googlefonino distribuito al pubblico
meno di una settimana fa. Che non fa molti danni, ma che ha fatto infuriare Google.
Secondo le - poche - informazioni
fornite dal Miller al quotidiano statunitense, il problema riguarderebbe
il browser del G1 (e di qualsiasi altro telefonino che utilizzi il nuovo sistema operativo mobile prodotto da BigG): grazie ad una imprecisata vulnerabilità dovrebbe essere possibile eseguire codice pericoloso da remoto sul cellulare, previa la visita da parte del proprietario di una pagina web appositamente creata. In questo modo sarebbe possibile installare sul terminale software pericoloso come un keylogger, o comunque in grado di alterare in qualche modo la normale fruizione della rete.
La portata del problema è stata
minimizzata da Google:
vista la natura a
compartimenti stagni di
Android, molto simile per principio allo spirito con cui è stato programmato
Chrome, qualsiasi violazione del codice di un applicativo resterebbe confinata alla
sandbox che lo contiene senza poter danneggiare altre parti del terminale. Miller concorda con la diagnosi, ma è indubbio che chiunque utilizzi il googlefonino per consultare il proprio conto bancario o visionare la posta elettronica non sarebbe entusiasta di scoprire che tutto quanto digita è intercettato in tempo reale (o anche in differita) da remoto.
Quanto ha
davvero "mandato in bestia" i responsabili di Google per il codice di Android è stata la decisione di Miller di
spifferare tutto alla stampa: l'esperto di sicurezza avrebbe "violato un codice non scritto tra aziende e ricercatori che è pensato per dare tempo ai produttori di correggere i problemi prima che vengano resi pubblici". Da parte sua, il bug hunter si difende: la sua mossa sarebbe stata dettata unicamente dal desiderio di attirare l'attenzione sul rischio che corrono i possessori di smartphone, lo stesso tipo di rischio di qualsiasi altro utente che si colleghi ad Internet con un personal computer.
Il gesto di Miller avrebbe insomma motivazioni puramente filosofiche. Nonostante però Google abbia nel frattempo già provveduto a fixare il problema nella
release open source di Android, e stia lavorando spalla a spalla con T-Mobile e HTC per provvedere a risolvere il bug anche sui terminali già in circolazione, è indubbio che questa notizia solleverà qualche perplessità sulla
maturità del codice del sistema operativo. Perplessità che
hanno espresso anche alcuni pezzi grossi della
Open Handset Alliance, e che complicano un po' il cammino di Android che ultimamente aveva assunto i toni di una marcia trionfale.
Luca Annunziata