Alfonso Maruccia

Android, i buchi e le pezze

Una app gratuita mira a rattoppare la famigerata vulnerabilitÓ della "Master Key" di Android, mentre dalla Cina arrivano notizie di nuove falle nel processo di verifica della firma digitale dei pacchetti APK

Roma - La vulnerabilità di Android che permette di bypassare i controlli di sicurezza sulle firme crittografiche delle app è di quelle importanti, talmente importante che piuttosto che attendere la distribuzione di aggiornamenti ufficiali da parte dei carrier gli utenti sono invitati a usare soluzioni di terze parti per bloccare i possibili tentativi di attacco.

La falla nota come della "Master Key" di Android - anche se non in realtà c'è nessuna compromissione di alcuna chiave crittografica - permette a un malintenzionato di camuffare il proprio codice malevolo all'interno di un pacchetto .apk mascherato come una app legittima, con un baco nella gestione dei file compressi nel pacchetto (in sostanza un archivio .zip con diversa estensione) grazie a quale è possibile inserire un software nocivo dotandolo dello stesso nome di quello legittimo: Android verificherà la firma (autentica) del file originale ma estrarrà e installerà il malware.

Google ha già provveduto ad aggiornare Android chiudendo il buco, ma ora il compito di rilasciare update di sicurezza spetterà ai singoli produttori OEM di terminali compatibili. L'alternativa è installare ReKey, una applicazione gratuita progettata con lo scopo di inibire i potenziali attacchi basati su una vulnerabilità che dovrebbe riguardare la quasi totalità di gadget Android disponibili in commercio.

ReKey prende il controllo delle routine fallate e provvede ad avvertire l'utente ogniqualvolta venga individuato il tentativo di installare file malevoli, e oltre al baco già noto in precedenza l'utility è in grado di neutralizzare anche nuovi attacchi basati sullo stesso meccanismo.

Ricercatori cinesi hanno infatti scovato l'ennesimo problema nella gestione dei meccanismi di autenticazione sicura delle app su Android, anche se in questo caso l'obiettivo è il file di classi .dex contenuto nei pacchetti APK. Il problema riguarda solo i file .dex di dimensioni inferiori ai 64 Kilobyte, ed è stato già corretto da una patch apposita per la versione base di Android.

Alfonso Maruccia
Notizie collegate
  • SicurezzaAndroid, sicurezza bucataTrittico di mancata sicurezza per l'OS di Google: un baco vecchio di anni, una vulnerabilitÓ di Skype e una comunicazione "segreta" dei terminali Motorola che si fa beffe della privacy
21 Commenti alla Notizia Android, i buchi e le pezze
Ordina