I ricercatori di Bluebox Security hanno pubblicato i dettagli su “Fake ID”, identificativo di un nuovo, pericoloso bug di sicurezza presente all’interno di Android. Un bug che permette alle app malevole di camuffarsi da codice legittimo per compiere ogni genere di azione dannosa.
Fake ID si basa sul funzionamento delle firme digitali su Android, con il sistema operativo che controlla la validità di un ID ma non si cura di verificare adeguatamente da dove tali ID provengano: come risultato, una app malevola potrebbe impiegare un ID fasullo per passare il controllo dell’OS come una app legittima o addirittura facente parte del codice base del sistema.
Grazie a Fake ID un eventuale malintenzionato potrebbe ad esempio camuffare la propria app malevola come Google Wallet ottenendo l’accesso alle comunicazioni NFC e ai dati relativi ai pagamenti, oppure potrebbe passare per Adobe Systems installando un trojan in un’applicazione.
Il bug noto come Fake ID è presente su tutte le versioni di Android dalla 2.1 alla 4.4, spiegano da Bluebox Security, anche se l’ultima versione dell’OS mobile risulta essere maggiormente resistente agli exploit pensati per sfruttare il baco.
Si tratta ad ogni modo di un problema grave, profondamente radicato nel codice di Android al punto da riguardare anche le fork (commerciali oppure open) dell’OS come il sistema Fire OS di Amazon. Google dice di aver già realizzato una patch in grado di chiudere il bug, sebbene al momento non risultino casi di app malevole progettate per sfruttare la vulnerabilità.
Alfonso Maruccia