Alfonso Maruccia

Android, Google tappa un buco

Nuova falla scoperta dai ricercatori e subito messa a frutto con un proof-of-concept sul Marketplace. Google rimuove la app incriminata e rilascia una patch. Ma c'č ancora da risolvere un problema col browser della versione 2.1

Roma - Il sistema operativo Android è affetto da una grave vulnerabilità nei token di autorizzazione degli utenti per l'accesso ai servizi di terze parti. Jon Oberheide e Zach Lanier, i ricercatori che hanno individuato la falla, pianificano di pubblicare i dettagli sul problema in una prossima conferenza sulla sicurezza, ma hanno già provocato l'entrata in gioco di Google con relativa pezza in grado di tappare la falla.

I due ricercatori hanno distribuito un exploit funzionante in grado di trarre vantaggio dalla vulnerabilità. La loro "dimostrazione" ha preso la forma di un'applicazione distribuita sul Marketplace delle app di Android, un codice camuffato da espansione del giochino Angry Birds che in realtà aveva l'obiettivo nascosto di installare surrettiziamente tre app aggiuntive in grado di accedere ai contatti, alle informazioni di posizione e agli SMS e trasmettere dati a un server remoto. Il tutto, ben'inteso, senza alcun allarme o richiesta di autorizzazione mostrata all'utente.

Google si è accorto della app fittizia dopo sei ore, procedendo in seguito a rimuoverla dallo store e a distribuire una patch a tutti gli utenti di Android. E se questo buco è stato chiuso, un altro scoperto nel browser del sistema operativo mobile continua a minacciare i possessori dello smartphone HTC Legend con installata la versione 2.1 di Android.
La succitata versione di Android continua a essere installata sulla maggior parte dei telefonini androidi, come Google stessa ha ammesso nei giorni scorsi, quindi il secondo baco - scoperto da un ricercatore di MWR InfoSecurity e anch'esso in grado di far eseguire codice malevolo sullo smartphone - continuerà a minacciare la sicurezza delle informazioni personali degli utenti in possesso di un dispositivo basato su Android ancora per un po'.

Android continua a essere affetto da problemi di sicurezza anche molto gravi, mentre Google sembra volersi concentrare sulle nuove funzionalità del marketplace delle app: incluso quell'autoaggiornamento che rende le applicazioni locali molto più simili alle appliance web gestite da remoto. Sia come sia, a Mountain View dovranno necessariamente mettere in sicurezza la piattaforma Android, soprattutto se hanno intenzione di giocare un ruolo da protagonisti nell'emergente mercato dei tablet in concorrenza a iPad di Apple.

Alfonso Maruccia
Notizie collegate
  • SicurezzaAndroid, 3 candeline col bucoCompleanno agrodolce per il sistema operativo mobile di Google. Che festeggia i suoi notevoli risultati sul mercato, ma langue in mezzo ai bachi. Tutta colpa della frammentazione?
72 Commenti alla Notizia Android, Google tappa un buco
Ordina
  • qualcuno conosce un modo per disabilitare le news provenienti da punto informatico all'interno della app news di android?
    non+autenticato
  • Cambia palmare.
    non+autenticato
  • Qualche giorno fa in un altro articolo di Mariuccia, si parlava di Symbian che nonostante fosse obsoleto è stato mantenuto in vita con qualche milione di euro di fondi europei e feci notare che non era così obsoleto.

    In Symbian, i moduli del microkernel che accedono proprio ai dati utenti SMS, alla geolocalizzazione eccetera, non sono accessibili se le applicazioni non DICHIARANO esplicitamente l'uso di tali caratteristiche nelle "capabilities" e se non sono FIRMATE.

    Un gioco che non dichiara tali capacità esplicitamente, non può accedere ai servizi che ne fanno uso.

    Quello che mi incurioscisce di Android, che non conosco dettagliatamente, è come però questo sia possibile su un sistema Linux che mai permetterebbe di installare servizi o accedere a device drivers, senza gli opportuni permessi.

    Visto d'altra parte l'uso superficiale della geolocalizzazione e del data crossing che Google fa sui dati utente (e anche non utente), la cosa potrebbe d'altra parte non stupire più di tanto ma la questione non è strettamente tecnica.
    non+autenticato
  • - Scritto da: Disinformat ico
    > Quello che mi incurioscisce di Android, che non
    > conosco dettagliatamente, è come però questo sia
    > possibile su un sistema Linux che mai
    > permetterebbe di installare servizi o accedere a
    > device drivers, senza gli opportuni
    > permessi.
    Basta modificare il kernel.
    non+autenticato
  • Anche nelle applicazioni Android è così. Dichiari le varie funzioni che usi in un file manifest.xml, in caso contrario, appena questa cerca di accedere alla funzionalità non dichiarata, dà errore.
    http://developer.android.com/reference/android/Man...
    non+autenticato
  • che gli applefan si lamentino che venga chiusa una falla in android.. dovrebbero prendere in giro se non viene chiusa come succede su ios
  • - Scritto da: lordream
    > che gli applefan si lamentino che venga chiusa
    > una falla in android.. dovrebbero prendere in
    > giro se non viene chiusa come succede su
    > ios
    Ovvio che non vengono chiuse, su iOS le falle non esistono, essendo un sistema operativo creato dall'uomo piu perfetto del mondo: nostro re giobs (lunga vita).
    Le poche falle (come le chiamate voi comuni mortali), da noi prendono il nome di ficiars.

    Clicca per vedere le dimensioni originali
    non+autenticato
  • Ahahah, esatto... o ficiars o "è l'utente che sbaglia!"Con la lingua fuori
    non+autenticato
  • - Scritto da: Rppala
    > http://www.webnews.it/2010/11/03/macbook-air-spunt
    >
    > http://www.macrumors.com/2010/11/02/new-macbook-ai
    >
    > http://www.cultofmac.com/video-problems-reported-b
    >
    > http://discussions.apple.com/thread.jspa?threadID=
    >
    > http://www.pcworld.com/businesscenter/article/2095

    I problemi, anzi, IL problema (riguardante la scheda video) verrà risolto con un upgrade.
    Per il resto rimane la solita assistenza Apple, la migliore al mondo.
    ruppolo
    33147
  • e se me lo dice uno che ha lasciato il cervello in un applestore ci credo sicuramente.. ma poi ricordo che un altro update avrebbe dovuto sistemare i problemi di antenna.. ruppolo.. spera che apple non faccia nella stessa maniera
  • Ehilà, ma sei sempre qua, colpo su colpo... ma questa battaglia donchisciottesca contro android l'hai presa di petto eh...

    Ma come mai?
    Eppure un sacco di gente ci si trova proprio bene (me compreso).
    Saranno tutti fessi?

    PS: ti do una mano... l'app di Facebook è davvero penosa rispetto a quella dell'aifòn, stattina ho fatto l'ennesimo upgrade e gli utenti erano tutti imbelviti, i più dicevano: "copiate quella dell'iphone!"

    Buon fine settimana!

    Buona fine settimana!
    non+autenticato
  • perdonate gli errori e le ripetizioni, il caffè non è ancora in circoloSorride
  • - Scritto da: syntaris
    > Ehilà, ma sei sempre qua, colpo su colpo... ma
    > questa battaglia donchisciottesca contro android
    > l'hai presa di petto
    > eh...
    >
    > Ma come mai?
    > Eppure un sacco di gente ci si trova proprio bene
    > (me
    > compreso).
    > Saranno tutti fessi?
    >
    > PS: ti do una mano... l'app di Facebook è davvero
    > penosa rispetto a quella dell'aifòn, stattina ho
    > fatto l'ennesimo upgrade e gli utenti erano tutti
    > imbelviti, i più dicevano: "copiate quella
    > dell'iphone!"
    >
    > Buon fine settimana!
    >
    > Buona fine settimana!
    e ovvio, la nostra app e troppo avanti, pensa che appena mi loggo con l'app dell'aifon mi mostra tra i contatti che potrei conoscere, solo le fighe piu potenti desiderosi di trombare....questo android ce la? medita ragazzo meditaOcchiolino
    Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: ruppolo
    > - Scritto da: Rppala
    > >
    > http://www.webnews.it/2010/11/03/macbook-air-spunt
    > >
    > >
    > http://www.macrumors.com/2010/11/02/new-macbook-ai
    > >
    > >
    > http://www.cultofmac.com/video-problems-reported-b
    > >
    > >
    > http://discussions.apple.com/thread.jspa?threadID=
    > >
    > >
    > http://www.pcworld.com/businesscenter/article/2095
    >
    > I problemi, anzi, IL problema (riguardante la
    > scheda video) verrà risolto con un
    > upgrade.
    > Per il resto rimane la solita assistenza Apple,
    > la migliore al
    > mondo.
    Esatto, siamo i migliori al mondo...poco ci fa se e il terzo aifone che mi mandano indietro dai paesi bassi con crepe da tutti i lati e schermo rigato, tanto posso richiamare l'assistenza che se lo riprende per mandarmene un altro...alla fine dovro vinecere per forza io e me ne daranno uno di fuori intatto (poi magari la batteria e bruciata ma poco importa, basta che sia bello a vedersiOcchiolino ).

    Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: ruppolo
    > - Scritto da: Rppala
    > >
    > http://www.webnews.it/2010/11/03/macbook-air-spunt
    > >
    > >
    > http://www.macrumors.com/2010/11/02/new-macbook-ai
    > >
    > >
    > http://www.cultofmac.com/video-problems-reported-b
    > >
    > >
    > http://discussions.apple.com/thread.jspa?threadID=
    > >
    > >
    > http://www.pcworld.com/businesscenter/article/2095
    >
    > I problemi, anzi, IL problema (riguardante la
    > scheda video) verrà risolto con un
    > upgrade.
    > Per il resto rimane la solita assistenza Apple,
    > la migliore al
    > mondo.

    Mondial Casa vi aspetta!
    Shiba
    4018
  • Se il signore che scrive questi post continua, prevedo un infarto per qualcuno...
    non+autenticato
  • la stessa azienda che fa strapagare i propri prodotti per poi dare solo un anno di garanzia?
    non+autenticato
  • Siccome i prodotti sono perfetti potrebbe anche non darla per nulla, la garanzia.
    Ma siccome sono costretti...
    non+autenticato
  • - Scritto da: Rppala
    > http://www.oneitsecurity.it/12/11/2010/mac-os-x-10

    Di cui il 45% riguardano Flash e gran parte delle rimanti le parti open source, comuni anche a Linux.
    ruppolo
    33147
  • - Scritto da: ruppolo
    > - Scritto da: Rppala
    > >
    > http://www.oneitsecurity.it/12/11/2010/mac-os-x-10
    >
    > Di cui il 45% riguardano Flash e gran parte delle
    > rimanti le parti open source, comuni anche a
    > Linux.

    ed il resto tutta porcheria made in apple ^^.. un gran sistema veramente lol.. sicuro.. esattamente quello che serve agli applefan.. tanto non capite un cazzo di informatica che vi frega se ci stanno vulnerabilità o meno?
  • - Scritto da: lordream
    > - Scritto da: ruppolo
    > > - Scritto da: Rppala
    > > >
    > >
    > http://www.oneitsecurity.it/12/11/2010/mac-os-x-10
    > >
    > > Di cui il 45% riguardano Flash e gran parte
    > delle
    > > rimanti le parti open source, comuni anche a
    > > Linux.
    >
    > ed il resto tutta porcheria made in apple ^^.. un
    > gran sistema veramente lol.. sicuro.. esattamente
    > quello che serve agli applefan.. tanto non capite
    > un cazzo di informatica che vi frega se ci stanno
    > vulnerabilità o
    > meno?
    Noi non capiamo un cazzo? ma come ti permetti...intanto voi non avete ne una bellissima ficiars come taim mascin, che con quella superinterfaccia ci mostra i file di backup (se li facciamo ovviamente, la nostra libertà sta in questo), abbiamo telefoni che sono i più evoluti del mondo (possiamo, quando non ci va, mettere un dito in un punto e far perdere le chiamate)...voi avete tutto cio? presumo di no, ma basta che fi acciate la bocca che potete inserire repo qualsiasi..beati voi :/

    Clicca per vedere le dimensioni originali
    non+autenticato
  • Sostanzialmente non ce ne può fregare di meno. Formalmente, invece, siamo molto preoccupati per queste vulnerabilità.
    ruppolo
    33147
  • - Scritto da: ruppolo
    > Sostanzialmente non ce ne può fregare di meno.
    > Formalmente, invece, siamo molto preoccupati per
    > queste
    > vulnerabilità.

    e io che ho detto?.. che non ne capite nulla di informatica.. lo hai dimostrato anche ora
    non+autenticato
  • Č bene precisare he quando mr. zippolo ruppolo usa il plurale non parla a nome degli utenti Apple. Qualche (altro) troll potrebbe trarre spunto da questi suoi deliranti messaggi per generalizzare l'intera categoria e non mi sembra giusto nei confronti di tutti quelli che non si riconoscono in certe aberrazioni.

    zip your folders in XP
  • - Scritto da: lordream
    > - Scritto da: ruppolo
    > > - Scritto da: Rppala
    > > >
    > >
    > http://www.oneitsecurity.it/12/11/2010/mac-os-x-10
    > >
    > > Di cui il 45% riguardano Flash e gran parte
    > delle
    > > rimanti le parti open source, comuni anche a
    > > Linux.
    >
    > ed il resto tutta porcheria made in apple ^^..

    Ma va' Annoiato

    > un gran sistema veramente lol.. sicuro..

    Ma smettila va che ha livello di sicurezza spacca il cul. a tutti

    > esattamente
    > quello che serve agli applefan..

    Sicuro , scattante ed ho tutto quello che mi serve

    > tanto non capite
    > un cazzo di informatica che vi frega se ci stanno
    > vulnerabilità o
    > meno?

    Detto da te é un COMPLIMENTONE caro il mio troll certificato MCSE, LPI e quant'altro, tu si che ne capisci di informatica; "ma c'hai pure internette?"

    A zappare le terra devi andare
    non+autenticato
  • sei l'esempio vivente per eccellenza del "nessuno è più sordo di chi non vuol sentire"
    Ma hai visto la lista delle patch?
    non+autenticato
  • Ma non era sicurissimo?
    non+autenticato
  • scusa ma tanto per sapere, quali sarebbero queste parti opensource comuni a linux?

    no perchè a me risulta che macos e linux non hanno in comune nemmeno il compilatore

    usare il cervello prima di postare no eh!?!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)