Alfonso Maruccia

Android e il bug che uccide la privacy

Un problema recente viene "armato" dalla realizzazione di un exploit pienamente funzionante. Un evento che fa scattare l'allarme per i rischi corsi dagli utenti su terminali dalla 4.2.1 in giù

Roma - Android cade vittima di un nuovo baco "apocalittico", nelle sue conseguenze potenziali, anche se il nuovo caso non sembra riguardare un rischio di (in)sicurezza quanto piuttosto una minaccia diretta e pericolosa alla privacy dell'utente.

Il bug (CVE-2014-6041) è presente su Android 4.2.1 (e versioni precedenti) e coinvolge una percentuale di gadget Android stimata nel 75 per cento del totale; sfruttando la vulnerabilità, un sito Web appositamente creato potrebbe "spiare" sui contenuti di tutte le altre pagine Web attualmente aperte sul browser, un'eventualità che i tecnici che si occupano di sicurezza hanno già descritto come un "disastro" dal punto di vista della riservatezza.

Un listato JavaScript contenente codice opportunamente scritto sarebbe in grado di bypassare i meccanismi di Same-Origin Policy (SOP) del browser carpendo ogni genere di informazione, dai cookie di autenticazione al contenuto delle email aperte sulla pagina di una webmail, e così via.
A contribuire alla pericolosità del nuovo bug ci hanno pensato gli sviluppatori di Metasploit, toolkit usato per test di penetrazioni Web che è stato appunto aggiornato con un stumento funzionante in grado di trarre vantaggio dalla vulnerabilità. I ricercatori dicono di aver già verificato l'efficacia del codice (potenzialmente) malevolo su molti terminali inclusi Qmobile Noir A20 (Android browser 4.2.1), Sony Xperia, Samsung Galaxy, HTC e Motorola.

In tutto questo si innesta anche una curiosa polemica sulla paternità della scoperta: Rafay Baloch se la attribuisce, fornendo come prova una serie di email scambiate con i tecnici Google, ma l'azienda avrebbe dapprima negato la riproducibilità del bug e in seguito anche l'eventualità che Baloch si aggiudicasse una delle taglie che Big G pone sulla testa dei bug più perniciosi del suo software.

Alfonso Maruccia
Notizie collegate
18 Commenti alla Notizia Android e il bug che uccide la privacy
Ordina
  • Qualcosa su Android che minaccia la Privacy, non si era mai visto !
    non+autenticato
  • Distribuirà un fix del browser AOSP tramite Google Play Services e tanti saluti ai gufi.
    Che poi tanto quel browser non lo usa nessuno. Anche gli xperia ormai montano chrome di serie. Solo due o tre sfigati che "io chrome non lo uso perché è proprietario, molto meglio il browser di serie, che è pure più veloce, anche se supporta solo html 1.0 draft".
    Samsung lo usa come componente per sviluppare il suo? beh, problemi dei samsungari... se la prendano con il loro OS pesantemente modificato e chiedano a Samsung un fix o un aggiornamento dell'intero OS.
    Il resto del mondo su android usa chrome e lo tiene sempre aggiornato. Quindi insomma, all'atto pratico problemi direi pochi.
    non+autenticato
  • Son 2 giorni che mi cappotto dalle risate.

    Ma la cosa più ganza di tutte è che questo bug colpisce proprio chi ha Android "liscio" o cynamodgen in quanto usano BROWSER al posto di Chrome e non vogliono le Gapps.

    Quando si dice, colpito e affondato.

    Il cantinaro.
    maxsix
    8954
  • Al posto di Firefox magari?
    non+autenticato
  • i cantinari per prima cosa installano firefox
    non+autenticato
  • I cantinari di un tempo erano persone capaci, i cantinari di oggi al più sono degli avvinazzati!
    non+autenticato
  • In effetti.

    Ma meglio un linux in vineria che un Mac da Starbucks...


    PS: windows manco più lo conto...
    non+autenticato
  • Da Starbucks ci vanno quelli che non capiscono un cazzo di computer e di caffè.
  • Non capisco... l'hanno fatto su Safari sui Mac e nessuno si è cappottato.
    Riciclando peraltro un vius di WinDose.

    Ora... capisco la quasi nulla diffusione di osx, però guarda a caso i buchetti ci sono ovunque.
    non+autenticato
  • così imparano i vari sveltoni a prendersi i samsung. gli android sono solo: motorola, nexus e cyanogen (che contrariamente alle tue cazzate è sempre aggiornata all'ultima versione)
    non+autenticato
  • Ogni tanto anche alle pecore è consentito uscire dal recinto:
    http://www.google.com/chrome/browser/mobile/ios.ht...
    non+autenticato
  • - Scritto da: maxsix

    > Ma la cosa più ganza di tutte è che questo bug
    > colpisce proprio chi ha Android "liscio" o
    > cynamodgen in quanto usano BROWSER al posto di
    > Chrome e non vogliono le Gapps.

    Il cantinaro ti risponderà che tanto lui usa Firefox. Che poi la maggior parte delle persone usi il browser di default non è un suo problema. Una grande dimostrazione di altruismo.

    Ma quella dei "cantinari" è una comunità o una setta?
    FDG
    10893
  • - Scritto da: FDG
    > - Scritto da: maxsix
    >
    > > Ma la cosa più ganza di tutte è che questo
    > bug
    > > colpisce proprio chi ha Android "liscio" o
    > > cynamodgen in quanto usano BROWSER al posto
    > di
    > > Chrome e non vogliono le Gapps.
    >
    > Il cantinaro ti risponderà che tanto lui usa
    > Firefox. Che poi la maggior parte delle persone
    > usi il browser di default non è un suo problema.
    > Una grande dimostrazione di
    > altruismo.
    >
    > Ma quella dei "cantinari" è una comunità o una
    > setta?

    Setta perche ??
    Anche quella macaca lo è ma nessuno si scandalizza.
    non+autenticato
  • Ma il problema è quello del browser predefinito di android?

    Se è quello il problema allora basta non utilizzarlo come ad esempio faccio io, utilizzando dolphin browser.
    non+autenticato
  • - Scritto da: noTrollPlea se
    > Ma il problema è quello del browser predefinito
    > di
    > android?
    >
    > Se è quello il problema allora basta non
    > utilizzarlo come ad esempio faccio io,
    > utilizzando dolphin
    > browser.

    Devi disabilitarlo.

    Altrimenti se apri un link da qualunque cosa sei fregato.

    E non è nemmeno detto, molti browser alternativi basano il loro engine sul BROWSER di serie (INTERNET per i samsung).

    Cerca se il tuo browser è di questi altrimenti devi cambiare.

    AHAHAHAHAHAHahahahahaha

    (moro)
    maxsix
    8954
  • - Scritto da: maxsix
    > - Scritto da: noTrollPlea se
    > > Ma il problema è quello del browser
    > predefinito
    > > di
    > > android?
    > >
    > > Se è quello il problema allora basta non
    > > utilizzarlo come ad esempio faccio io,
    > > utilizzando dolphin
    > > browser.
    >
    > Devi disabilitarlo.
    >
    > Altrimenti se apri un link da qualunque cosa sei
    > fregato.

    Disabilicheee?A bocca apertaA bocca apertaA bocca apertaA bocca aperta

    >
    > E non è nemmeno detto, molti browser alternativi
    > basano il loro engine sul BROWSER di serie
    > (INTERNET per i
    > samsung).

    Su iOS praticamente tutti i browser lo fanno.
    Anche perché Apple OBBLIGAVA a farlo.


    >
    > Cerca se il tuo browser è di questi altrimenti
    > devi
    > cambiare.
    >
    > AHAHAHAHAHAHahahahahaha
    >
    > (moro)

    SperiamoA bocca aperta
    non+autenticato
  • - Scritto da: maxsix
    > Devi disabilitarlo.
    >
    > Altrimenti se apri un link da qualunque cosa sei
    > fregato.

    Sul mio cellulare nelle impostazioni dell'applicazione "browser" il tasto "Disable" era... disabilitato.

    Risolto con il "Freeze" di titanium backup (root), ma mi chiedo se è disabilitato il tasto solo sul mio o su tutti...
    non+autenticato