Il sistema operativo Android è affetto da una grave vulnerabilità nei token di autorizzazione degli utenti per l’accesso ai servizi di terze parti. Jon Oberheide e Zach Lanier, i ricercatori che hanno individuato la falla, pianificano di pubblicare i dettagli sul problema in una prossima conferenza sulla sicurezza, ma hanno già provocato l’entrata in gioco di Google con relativa pezza in grado di tappare la falla.
I due ricercatori hanno distribuito un exploit funzionante in grado di trarre vantaggio dalla vulnerabilità. La loro “dimostrazione” ha preso la forma di un’applicazione distribuita sul Marketplace delle app di Android, un codice camuffato da espansione del giochino Angry Birds che in realtà aveva l’obiettivo nascosto di installare surrettiziamente tre app aggiuntive in grado di accedere ai contatti, alle informazioni di posizione e agli SMS e trasmettere dati a un server remoto. Il tutto, ben’inteso, senza alcun allarme o richiesta di autorizzazione mostrata all’utente.
Google si è accorto della app fittizia dopo sei ore, procedendo in seguito a rimuoverla dallo store e a distribuire una patch a tutti gli utenti di Android. E se questo buco è stato chiuso, un altro scoperto nel browser del sistema operativo mobile continua a minacciare i possessori dello smartphone HTC Legend con installata la versione 2.1 di Android.
La succitata versione di Android continua a essere installata sulla maggior parte dei telefonini androidi, come Google stessa ha ammesso nei giorni scorsi, quindi il secondo baco – scoperto da un ricercatore di MWR InfoSecurity e anch’esso in grado di far eseguire codice malevolo sullo smartphone – continuerà a minacciare la sicurezza delle informazioni personali degli utenti in possesso di un dispositivo basato su Android ancora per un po’.
Android continua a essere affetto da problemi di sicurezza anche molto gravi , mentre Google sembra volersi concentrare sulle nuove funzionalità del marketplace delle app: incluso quell’autoaggiornamento che rende le applicazioni locali molto più simili alle appliance web gestite da remoto. Sia come sia, a Mountain View dovranno necessariamente mettere in sicurezza la piattaforma Android, soprattutto se hanno intenzione di giocare un ruolo da protagonisti nell’ emergente mercato dei tablet in concorrenza a iPad di Apple.
Alfonso Maruccia