Alfonso Maruccia

Android e il bug delle identitÓ fasulle

I ricercatori identificano una pericolosa vulnerabilitÓ presente all'interno dell'OS di Google, un baco che coinvolge anche i sistemi basati su Android e per cui Ŕ giÓ disponibile una patch

Roma - I ricercatori di Bluebox Security hanno pubblicato i dettagli su "Fake ID", identificativo di un nuovo, pericoloso bug di sicurezza presente all'interno di Android. Un bug che permette alle app malevole di camuffarsi da codice legittimo per compiere ogni genere di azione dannosa.

Fake ID si basa sul funzionamento delle firme digitali su Android, con il sistema operativo che controlla la validità di un ID ma non si cura di verificare adeguatamente da dove tali ID provengano: come risultato, una app malevola potrebbe impiegare un ID fasullo per passare il controllo dell'OS come una app legittima o addirittura facente parte del codice base del sistema.

Grazie a Fake ID un eventuale malintenzionato potrebbe ad esempio camuffare la propria app malevola come Google Wallet ottenendo l'accesso alle comunicazioni NFC e ai dati relativi ai pagamenti, oppure potrebbe passare per Adobe Systems installando un trojan in un'applicazione.
Il bug noto come Fake ID è presente su tutte le versioni di Android dalla 2.1 alla 4.4, spiegano da Bluebox Security, anche se l'ultima versione dell'OS mobile risulta essere maggiormente resistente agli exploit pensati per sfruttare il baco.

Si tratta ad ogni modo di un problema grave, profondamente radicato nel codice di Android al punto da riguardare anche le fork (commerciali oppure open) dell'OS come il sistema Fire OS di Amazon. Google dice di aver già realizzato una patch in grado di chiudere il bug, sebbene al momento non risultino casi di app malevole progettate per sfruttare la vulnerabilità.

Alfonso Maruccia
Notizie collegate
  • SicurezzaIBM svela il buco di AndroidUn problema risolto con KitKat, ma che sarebbe presente nella stragrande maggioranza dei cellulari in circolazione. Un problema che potrebbe svelare password e chiavi crittografiche custodite in ogni smartphone
7 Commenti alla Notizia Android e il bug delle identitÓ fasulle
Ordina
  • stavo aspettando questa notizia, perchè ho visto che c'è attorno un hype mostruoso e balle colossali http://www.osnews.com/story/27868/Another_day_anot...

    e per completezza aggiungo anche questa http://www.osnews.com/story/27862/Trend_Micro_caug...

    bellissima la conclusione

    "They almost always originate from antivirus peddlers, who know full well that operating system security - on both desktop and mobile - has increased so much these past decade or so that their core business model is at stake, and as such, they have to drum up the FUD"
    non+autenticato
  • - Scritto da: collione
    > stavo aspettando questa notizia, perchè ho visto
    > che c'è attorno un hype mostruoso e balle
    > colossali
    > http://www.osnews.com/story/27868/Another_day_anot
    >
    > e per completezza aggiungo anche questa
    > http://www.osnews.com/story/27862/Trend_Micro_caug
    >
    > bellissima la conclusione
    >
    > "They almost always originate from antivirus
    > peddlers, who know full well that operating
    > system security - on both desktop and mobile -
    > has increased so much these past decade or so
    > that their core business model is at stake, and
    > as such, they have to drum up the
    > FUD"


    Visto che è FUD giustamente Google fa la patch.
    Che come sempre non arriverà a nessuno.

    E il sparacloni da ieri ha un arma in più per divertirsi.

    Già.
    maxsix
    8871
  • ma l'hai letto l'articolo che ho postato? dal tuo commento si capisce che non l'hai fatto
    non+autenticato
  • - Scritto da: collione
    > ma l'hai letto l'articolo che ho postato? dal tuo
    > commento si capisce che non l'hai
    > fatto

    E cosa vuoi che ti dica?
    E cosa dovrebbe cambiare?

    E' inutile girarci tanto intorno, Android è un cesso di OS punto. Lo sapevamo noi addetti del settore a suo tempo, i fatti ci hanno dato ragione e continuano in modo imperterrito.

    Samsung si lecca le ferite e cerca di capire come invadere la fetta più remunerativa e "buona" del settore che è rappresentata da iOS.

    E si, Steve Jobs ha avuto ragione un'altra volta, il successo di una piattaforma la fa la sua usabilità, non la sua esistenza.

    Quindi aspettiamo Firefox OS, o Ubuntu o Windows Phone o quello che ti pare, ma di certo questo cesso deve scomparire dalla faccia della terra.

    Possibilmente portandosi con se il grande spione e i suoi amichetti.
    -----------------------------------------------------------
    Modificato dall' autore il 31 luglio 2014 20.48
    -----------------------------------------------------------
    maxsix
    8871
  • - Scritto da: maxsix
    > E' inutile girarci tanto intorno, Android è un
    > cesso di OS punto.

    e coglIOS allora ?A bocca aperta

    > Lo sapevamo noi addetti del
    > settore a suo tempo

    quale settore,giardinaggio ? (rotf)

    > i fatti ci hanno dato
    > ragione e continuano in modo
    > imperterrito.

    Per questo Android è in aumento e IOS è in caloA bocca aperta

    > Samsung si lecca le ferite e cerca di capire come
    > invadere la fetta più remunerativa e "buona" del
    > settore che è rappresentata da
    > iOS.

    Ma fammi il favore va,Samsung si concentrerà maggiormente sulla fascia media e bassa dato che è quella cion più probabilità di acquisto.
    Considera che ancora vedende bene S3 ed S4...

    > E si, Steve Jobs ha avuto ragione un'altra volta

    Nel senso che gli stupidi vanno sfruttati ?A bocca aperta

    > il successo di una piattaforma la fa la sua
    > usabilità

    muahahah con gli utenti dalla mentalità di un bambino di 5 anni,gli applefanA bocca aperta

    > non la sua esistenza.

    Lo stesso Jobs che diceva che avrebbe fatto una guerra termonucleare contro Android per spazzarlo via ? Ops è stato spazzato via prima lui,porta sfiga fare i presuntuosiA bocca aperta

    > Quindi aspettiamo Firefox OS

    Non mi sembra che sia nato ieri,eppure dove lo vedi in giro ?
    Comunque un'altro Linux basedOcchiolino

    > o Ubuntu o Windows
    > Phone o quello che ti pare

    Tipo Tizen ?A bocca aperta

    Samsung ha rimandato l'uscita in Russia per migliorarlo e perchè ci sono ancora pochissime app disponibili.Rimandato a data da destinarsi,di NUOVO...Sorride

    Anche qui un'altro Linux basedOcchiolino

    > ma di certo questo
    > cesso deve scomparire dalla faccia della
    > terra.

    A Jobs gli ha protato sfiga questo tipo di pensiero,non perseverareA bocca aperta

    > Possibilmente portandosi con se il grande spione
    > e i suoi
    > amichetti.

    Disse colui che aveva NSA inside nel suo icoso con processi altamente sospettati di fare ben altro il volere dell'utenteA bocca aperta
    non+autenticato
  • - Scritto da: maxsix

    > E cosa vuoi che ti dica?

    non puoi dire nulla, dai che non hai le conoscenze per poter esprimere un parere

    > E cosa dovrebbe cambiare?

    nulla finchè non ti arriverà un ban dal T-1000 ( ma temo che non accadrà mai )

    > E' inutile girarci tanto intorno, Android è un
    > cesso di OS punto. Lo sapevamo noi addetti del

    di certo non viene fornito dal produttore con una ricca dotazione di backdoor NSA-approved

    > settore a suo tempo, i fatti ci hanno dato

    tu saresti un addetto ai lavori? mentre tutti quelli ( vatti a guardare le loro biografie prima di definirli idioti o cialtroni ) che stanno usando Android per i più svariati progetti, cosa sarebbero?

    > Samsung si lecca le ferite e cerca di capire come

    che c'entra Samsung in un thread su una vulnerabilità di Android? c'arrivi a capire che il tuo fare da markettaro della mela non attacca?

    > invadere la fetta più remunerativa e "buona" del
    > settore che è rappresentata da
    > iOS.

    altra balla colossale

    > E si, Steve Jobs ha avuto ragione un'altra volta,
    > il successo di una piattaforma la fa la sua
    > usabilità, non la sua
    > esistenza.

    e Android sarebbe inusabile? è evidente che non l'hai mai provato

    > Quindi aspettiamo Firefox OS, o Ubuntu o Windows
    > Phone o quello che ti pare, ma di certo questo

    e Tizen? ti sei dimenticato di Tizen? quello che è stato ri-ri-ri-rimandato a data da destinarsi Rotola dal ridere

    > Possibilmente portandosi con se il grande spione
    > e i suoi
    > amichetti.

    che però ha implementato un modello di sicurezza allo stato dell'arte e non inserisci decine di backdoor per default
    non+autenticato
  • > che però ha implementato un modello di sicurezza
    > allo stato dell'arte e non inserisci decine di
    > backdoor per
    > default

    Ah sì? E te l'ha detto tuo cugino?
    non+autenticato