I ricercatori di Palo Alto Networks hanno individuato una nuova, anzi vecchia falla sull’OS mobile Android, un bug sfruttabile per installare app malevole dotate di privilegi di accesso estesi senza che l’utente abbia mai concesso alcunché.
Classificato come Android Installer Hijacking (AIH), l’attacco scoperto dagli esperti di Palo Alto è potenzialmente in grado di compromettere nomi utente, password e dati sensibili: una volta ottenuto l’accesso completo al terminale compromesso, avvertono i ricercatori, le possibilità di far danni sono enormi.
L’origine della nuova mega-falla di Android risiede nel processo di installazione di una app tramite API PackageInstaller , e l’attacco AIH necessita prima di tutto del download di una app apparentemente legittima dallo store Google Play.
Una verifica non corretta della successiva installazione di una app presa da store di terze parti, dicono da Palo Alto Networks, è in grado di avvantaggiarsi della prima app (appositamente sviluppata a tale scopo) per sostituirsi a essa, ma con privilegi di accesso superiori.
Al momento non esistono prove dell’effettiva circolazione di attacchi in grado di sfruttare la falla, anche se la gravità del problema non va sottovalutata visti i numeri in gioco: i terminali non aggiornati almeno ad Android 4.4 risultano potenzialmente a rischio, il che equivale a circa la metà dell’intera utenza dei gadget basati sul sistema operativo mobile di Google.
Alfonso Maruccia