Alfonso Maruccia

Android, falle senza fine

La calda estate della sicurezza mobile continua con nuove vulnerabilitÓ di sicurezza, patch per Stagefright non risolutive e bollettini di sicurezza in stile Microsoft

Roma - Google ancora sulla graticola per le falle in Stagefright, problema di sicurezza scoperto nell'omonimo componente di Android pensato per la gestione dei file multimediali che avrebbe dovuto risolversi dopo la distribuzione delle apposite patch da parte di Mountain View e non solo. Quelle patch, dicono ora i ricercatori, non risolvono completamente il problema.

Stando ai ricercatori di Exodus Intelligence, la patch - quattro semplici linee di codice - è pensata per chiudere la falla responsabile del bug di buffer overflow precedentemente identificato in Stagefright: in certe condizioni, però, un cyber-criminale potrebbe utilizzare variabili a 64-bit al posto di quelle standard a 32-bit per sfruttare comunque la falla.

I ricercatori si lamentano della situazione di (in)sicurezza evidenziata dalla scarsa efficacia della patch contro Stagefright: Google è dotato di un nutrito staff che si dedica a tempo pieno a questo genere di problemi.
Mountain View ha riconosciuto il problema della patch che "non patcha" classificandolo come CVE-2015-3864, e ha prontamente distribuito un nuovo aggiornamento (per i gadget della linea Nexus) nel tentativo di risolvere definitivamente la questione.

Ma i difetti di sicurezza di Android sono numerosi, soprattutto in questo periodo, e dopo Stagefright ecco arrivare l'ennesima vulnerabilità sfruttabile per bypassare la protezione della sandbox dell'OS mobile. L'applicazione di sistema Android Admin è fallata, dicono i ricercatori, e con l'uso di un link simbolico appositamente formattato è possibile installare una app malevola sui dispositivi vulnerabili.

Su Android spuntano bachi di sicurezza da ogni dove, ma Google dimostra di non voler restare con le mani in mano e subire passivamente la situazione: assieme alla nuova policy degli aggiornamenti mensili annunciata di recente, la corporation dell'advertising ha avviato la distribuzione di bollettini di sicurezza particolareggiati in stile Microsoft Patch Tuesday.

Alfonso Maruccia
Notizie collegate
  • SicurezzaStagefright, LG e Motorola si aggiornanoLe 6 pericolose falle della componente Android spingono anche Motorola ed LG a prendere provvedimenti per aggiornare regolarmente il sistema operativo che anima i loro terminali
  • SicurezzaAndroid, l'OS col buco intornoI ricercatori di IBM identificano una nuova vulnerabilitÓ "sistemica" su Android, una falla sfruttabile per compromettere un terminale e relativi dati sensibili senza possibilitÓ di ritorno. La patch correttiva Ŕ giÓ disponibile
  • SicurezzaAndroid e le nuove vulnerabilità di Certifi-gateSvelato l'ennesimo problema "sistemico" dell'OS mobile di Google, una serie di vulnerabilitÓ potenzialmente capaci di mettere completamente in ginocchio la sicurezza del terminale e dei dati dell'utente
60 Commenti alla Notizia Android, falle senza fine
Ordina
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 18 discussioni)