Dopo Stagefright e Certifi-gate , l’estate nera della sicurezza Android continua con una nuova vulnerabilità scoperta dai ricercatori di IBM : questa volta il problema risiede in una classe di certificati crittografici gestiti tramite libreria OpenSSL, e come le minacce testé indicate sono potenzialmente a rischio una quantità significativa dei proprietari di gadget Android relativamente recenti.
La vulnerabilità è stata classificata come CVE-2015-3825, e riguarda la classe di certificati crittografici X.509 : un attaccante sufficientemente esperto può sfruttare la falla per eseguire codice arbitrario senza limitazioni di sorta, ottenendo gli stessi privilegi di accesso del processo system_server e compiendo ogni genere di azione malevola ai danni del gadget e dei dati dell’utente.
Grazie alla falla CVE-2015-3825, spiegano i ricercatori , a un cyber-criminale viene garantita l’opportunità di trasformare una app malevola teoricamente innocua in una “super app”, rubando informazioni a destra e a manca senza allertare in alcun modo l’OS o l’utente.
Il problema è reso ancora più grave dalla scoperta, accanto alla falla nei certificati X.509, di vulnerabilità all’interno dei kit di sviluppo (SDK) Android di terze parti capaci di semplificare il compito dei criminali: una app fasulla può essere installata senza destare sospetti, sfruttando poi il baco in OpenSSL per guadagnare privilegi di accesso superiori e avere infine accesso agli stessi dati gestiti da una app legittima precedentemente installata sul dispositivo.
I ricercatori stimano che la falla CVE-2015-3825 sia presente sul 55 per cento dei dispositivi Android, coinvolgendo le release dalla 4.3 in su, Android M incluso. Un aggiornamento in grado di risolvere il problema è già disponibile, anche se il suo arrivo nelle mani degli utenti finali è tutto fuorché scontato. Una notizia positiva è infine data dalla mancanza, almeno per il momento, di attacchi “reali” in grado di sfruttare la vulnerabilità.
Alfonso Maruccia