Luca Annunziata

IBM svela il buco di Android

Un problema risolto con KitKat, ma che sarebbe presente nella stragrande maggioranza dei cellulari in circolazione. Un problema che potrebbe svelare password e chiavi crittografiche custodite in ogni smartphone

Roma - La scoperta risale a 9 mesi fa, ma i tecnici IBM l'hanno tenuta sotto chiave per tutto questo tempo per dare il tempo a Google di metterci una pezza: il cruciale componente KeyStore dello stack di Android, apparentemente di tutte le versioni fino alla 4.3, è vulnerabile a un attacco di buffer overflow che potrebbe avere gravi conseguenze per la sicurezza delle informazioni riservate custodite nei cellulari. Le password e le chiavi di cifratura potrebbero essere oggetto di manipolazione da parte degli attaccanti, compromettendo la sicurezza dell'intero terminale.

Se fosse data per buona la vulnerabilità in tutti i sistemi fino alla release 4.3, significherebbe che oltre l'86 per cento degli smartphone Android in circolazione è potenzialmente soggetto a una grave intrusione nella vita digitale dei rispettivi proprietari. La frammentazione del panorama del sistema operativo mobile di Google, da sempre uno dei ritornelli più ripetuti dai suoi detrattori, in questo caso gioca un ruolo fondamentale: il tempo concesso da IBM a Mountain View prima di rivelare la falla ha permesso di tapparla nella più recente release 4.4 KitKat, ma quest'ultima si è fatta strada solo su una percentuale minore di apparecchi in commercio (in alcuni casi perché datati e dunque non più supportati dalle case produttrici, in altri a causa di un procedimento spesso lento e laborioso di produzione degli aggiornamenti). Le conseguenze di tale situazione potrebbero dunque essere serie, anche alla luce del fatto che (pur esistendo delle limitazioni tecniche) una qualsiasi app opportunamente studiata potrebbe sfruttare il baco e carpire le preziose informazioni.

Vale la pena quindi gettare un po' d'acqua sul fuoco. Una precisazione riportata in cima all'advisory di IBM precisa che, stando a quanto riferito dall'Android Team, l'unica release affetta dal bug sarebbe la 4.3: le precedenti e, naturalmente, le successive sono immuni dal problema. In questo modo la faccenda si ridimensiona non di poco, anche se non è comunque il caso di rilassarsi troppo: Google farebbe bene a rilasciare una patch al più presto, anche se questo non garantirebbe automaticamente l'approdo del codice aggiornato su tutti i dispositivi in circolazione. L'unica precauzione utile ad arginare la minaccia è evitare scrupolosamente il download di app da fonti non sicure: c'è da augurarsi che i marketplace ufficiali, quali Play di Google o quello Amazon per nominarne un paio, non ospitino applicazioni sviluppate al solo scopo di estorcere preziose informazioni sensibili agli utenti. (L.A.)
Notizie collegate
  • TecnologiaPiù Android per tuttiLe regole di Google per ottenere una licenza GMS includono ora l'apposizione di un logo durante l'avvio del telefono. Il particolare notato sul nuovo HTC One M8, che rispolvera anche la vecchia polemica sui benchmark
  • SicurezzaAncora un buco in iOS?Con un apposita app si possono carpire informazioni da un iPhone o un iPad, senza che l'utente si accorga di nulla. Ma il problema sicurezza non riguarda solo Apple. Che pure è al momento nell'occhio del ciclone
  • BusinessIl prezzo di AndroidIl Guardian rivela le cifre richieste da Google per certificare un terminale come compatibile con il marketplace Play. Da Mountain View arriva una smentita. Ma Android è davvero a costo zero?
17 Commenti alla Notizia IBM svela il buco di Android
Ordina