Alfonso Maruccia

Google, sicurezza con lo smartphone degli altri

Un gruppo di ricercatori al soldo di Mountain View parte alla ricerca di vulnerabilitÓ sul Samsung Galaxy S6 Edge, e alla fine la caccia si rivela proficua. Nel mentre l'update mensile per Nexus corregge falle simili a quelle che affliggevano Stagefright

Roma - I ricercatori del team Project Zero di Google hanno passato una settimana a verificare la presenza di bug di sicurezza su Samsung Galaxy S6 Edge, terminale Android apparentemente scelto per la sua popolarità e per ribadire il concetto: la colpa dell'insicurezza dell'OS mobile va ascritta in buona parte ai produttori OEM.

La caccia di vulnerabilità sul Galaxy S6 Edge è stata gestita sotto forma di "contest" fra i membri nordamericani ed europei di Project Zero, dicono i ricercatori, tutti alle prese con tre diverse sfide rappresentative degli scenari di attacco tipici contro i terminali Android.
In dettaglio, gli analisti avrebbero dovuto ottenere l'accesso a contatti, foto e messaggi da remoto, attraverso una app installata da Play senza permessi, o eseguire codice in maniera "persistente" anche dopo la formattazione del terminale.

Alla fine della loro settimana di "lavoro", gli smanettoni di Project Zero hanno raggiunto ampiamente l'obiettivo che si erano prefissati scovando ben 11 vulnerabilità "critiche" all'interno dei driver e del software con cui Samsung ha personalizzato Android per il Galaxy S6 Edge.
Delle 11 falle riportate da Project Zero, Samsung ne ha già richiuse otto; tre bug, con livello di pericolosità inferiore rispetto agli altri (CVE-2015-7893, CVE-2015-7895 e CVE-2015-7898), sono ancora in attesa della distribuzione di una patch correttiva.

Ma gli sforzi profusi da Google per migliorare la sicurezza di Android non si concentrano sulla sola disclosure, e la corporation dell'advertising ha cominciato a tenere fede alla promessa fatta di recente con l'arrivo del bollettino di sicurezza mensile per terminali Nexus relativo al mese di novembre.
La comunicazione diramata da Mountain View riguarda sette falle di sicurezza individuate nei componenti per la gestione dei contenuti multimediali su Android, due dei quali classificati come critici, quattro con livello di severità "alto" e uno con pericolosità "moderata".

Dopo il caso Stagefright, l'aspetto più preoccupante della (in)sicurezza di Android continua a essere quello multimediale: a 48 ore dalla distribuzione per Android 5.1 e 6.0 su Nexus, le patch sono ora arrivate nella versione open source dell'OS. Toccherà ora ai singoli produttori implementare i correttivi nelle rispettive distribuzioni commerciali del sistema.

Alfonso Maruccia
Notizie collegate
  • SicurezzaStagefright 2.0, torna la paura su AndroidUna falla di vecchia data e un bug che affligge Android 5.x aprono il sipario su una nuova minaccia da un miliardo di utenti: basta l'anteprima di un video o di un file audio. Le patch sono pronte, ma quando saranno distribuite?
  • SicurezzaAndroid, i produttori che generano insicurezzaUna ricerca britannica mette alla gogna i produttori di smartphone poco inclini a rilasciare tempestivamente gli aggiornamenti per Android, esponendo a rischi la maggior parte degli utenti dell'OS mobile
  • SicurezzaStagefright, pubblicato il codice per l'attaccoZimperium ha finalmente rilasciato il codice necessario a compromettere i gadget Android per mezzo delle vulnerabilitÓ nel componente Stagefright, un tool utile per testare le patch in via di distribuzione da parte di Google e partner OEM
8 Commenti alla Notizia Google, sicurezza con lo smartphone degli altri
Ordina
  • O O ma non erano sicuri i megacosi android?
    Non mi venite a dire che la colpa è di samsung perchè non vale a niente se 3 utenti hanno un prodotto sicuro e i restanti 6.000.000 hanno quelli bacati.
    Almeno scegliendo apple non possono fare scarico barile e la patch ti arrivaOcchiolino
  • - Scritto da: SalvatoreGX
    > O O ma non erano sicuri i megacosi android?
    > Non mi venite a dire che la colpa è di samsung
    > perchè non vale a niente se 3 utenti hanno un
    > prodotto sicuro e i restanti 6.000.000 hanno
    > quelli
    > bacati.
    > Almeno scegliendo apple non possono fare scarico
    > barile e la patch ti arriva
    >Occhiolino

    Scegliendo un nokia da 30E ho ancora meno problemi di te Ficoso Rotola dal ridere
    non+autenticato
  • - Scritto da: Linaro
    > - Scritto da: SalvatoreGX
    > > O O ma non erano sicuri i megacosi android?
    > > Non mi venite a dire che la colpa è di
    > samsung
    > > perchè non vale a niente se 3 utenti hanno un
    > > prodotto sicuro e i restanti 6.000.000 hanno
    > > quelli
    > > bacati.
    > > Almeno scegliendo apple non possono fare
    > scarico
    > > barile e la patch ti arriva
    > >Occhiolino
    >
    > Scegliendo un nokia da 30E ho ancora meno
    > problemi di te Ficoso
    > Rotola dal ridere


    Ma io non ho nessun problema.Sorride
  • - Scritto da: SalvatoreGX
    > - Scritto da: Linaro
    > > - Scritto da: SalvatoreGX
    > > > O O ma non erano sicuri i megacosi
    > android?
    > > > Non mi venite a dire che la colpa è di
    > > samsung
    > > > perchè non vale a niente se 3 utenti
    > hanno
    > un
    > > > prodotto sicuro e i restanti 6.000.000
    > hanno
    > > > quelli
    > > > bacati.
    > > > Almeno scegliendo apple non possono fare
    > > scarico
    > > > barile e la patch ti arriva
    > > >Occhiolino
    > >
    > > Scegliendo un nokia da 30E ho ancora meno
    > > problemi di te Ficoso
    > > Rotola dal ridere
    >
    >
    > Ma io non ho nessun problema.Sorride

    Oggi, ma ieri il bug toccava gli itelefoni, c'è un bug al giorno i dispari per gli icosi i pari per gli androfoni.
    non+autenticato
  • - Scritto da: Linaro
    > - Scritto da: SalvatoreGX
    > > - Scritto da: Linaro
    > > > - Scritto da: SalvatoreGX
    > > > > O O ma non erano sicuri i megacosi
    > > android?
    > > > > Non mi venite a dire che la colpa
    > è
    > di
    > > > samsung
    > > > > perchè non vale a niente se 3
    > utenti
    > > hanno
    > > un
    > > > > prodotto sicuro e i restanti
    > 6.000.000
    > > hanno
    > > > > quelli
    > > > > bacati.
    > > > > Almeno scegliendo apple non
    > possono
    > fare
    > > > scarico
    > > > > barile e la patch ti arriva
    > > > >Occhiolino
    > > >
    > > > Scegliendo un nokia da 30E ho ancora
    > meno
    > > > problemi di te Ficoso
    > > > Rotola dal ridere
    > >
    > >
    > > Ma io non ho nessun problema.Sorride
    >
    > Oggi, ma ieri il bug toccava gli itelefoni, c'è
    > un bug al giorno i dispari per gli icosi i pari
    > per gli
    > androfoni.


    A chi tocca un se ngrugnaSorride
  • - Scritto da: SalvatoreGX
    > O O ma non erano sicuri i megacosi android?
    > Non mi venite a dire che la colpa è di samsung
    > perchè non vale a niente se 3 utenti hanno un
    > prodotto sicuro e i restanti 6.000.000 hanno
    > quelli
    > bacati.


    Non so. Se *un* telefono di Samsung ha un problema ed altri 1000 no, mi sa che sì, alla fine è colpa di Samsung.
  • Toccherà ora ai singoli produttori implementare i correttivi nelle rispettive distribuzioni commerciali del sistema

    trad. MAGNA TRANQUILLO
    non+autenticato
  • - Scritto da: Pianeta Android
    > Toccherà ora ai singoli produttori
    > implementare i correttivi nelle rispettive
    > distribuzioni commerciali del
    > sistema

    >
    > trad. MAGNA TRANQUILLO

    cari clienti, il supermegacoso da 699E che avete comprato ieri... beh, volete ridere? google dice che ha il software bacato. ovviamente non abbiamo ne' la voglia ne' la serieta' per uscirvi la patch, pero' possiamo, allo stesso prezzo, vendervi un altro supermegacoso con la verisione paccoiata... accomodatevi alla cassa, con portafogli alla mano e pantaloni alla caviglia.
    non+autenticato