Durante il DefCon 19 i ricercatori Sean Schulte e Nicholas Percoco sono saliti sul palco per rivelare di aver individuato un difetto di progettazione nel sistema operativo Android: ingenua vulnerabilità che potrebbe essere sfruttata da malintenzionati per far comparire un pop-up direttamente sullo schermo di smartphone e tablet.
Come noto, Android permette da un’applicazione di comunicare con l’utente mentre un’altra applicazione è in primo piano. In base al rapporto presentato sarebbe teoricamente possibile creare delle finte schermate d’accesso che si sostituiscono a quella vera, da utilizzare magari per un attacco di tipo phishing.
Schulte e Percoco hanno dimostrato la fattibilità del tutto inserendo del codice maligno all’interno dell’applicazione Facebook per Android. Dato che l’exploit si basa su una funzione legittima il sistema operativo non ha fatto scattare alcun allarme e il passaggio tra le due schermate si è tradotto in un impercettibile sfarfallio del display.
Nella sezione giovanile della convention hacker si è parlato di vulnerabilità molto più “leggere”, per Android e iOS. Una ragazzina di 10 anni, soprannominata CyFi , ha infatti scoperto e dimostrato l’esistenza di un “exploitable glitch” dentro un famoso videogame stile Farmville. Stanca di attendere i tempi imposti dal gioco la piccola CyFi ha disattivato la connessione internet dello smartphone e ha mandato avanti l’orologio di sistema per far crescere più velocemente il suo grano virtuale.
Roberto Pulito