La scoperta risale a 9 mesi fa, ma i tecnici IBM l’hanno tenuta sotto chiave per tutto questo tempo per dare il tempo a Google di metterci una pezza: il cruciale componente KeyStore dello stack di Android, apparentemente di tutte le versioni fino alla 4.3, è vulnerabile a un attacco di buffer overflow che potrebbe avere gravi conseguenze per la sicurezza delle informazioni riservate custodite nei cellulari. Le password e le chiavi di cifratura potrebbero essere oggetto di manipolazione da parte degli attaccanti, compromettendo la sicurezza dell’intero terminale .
Se fosse data per buona la vulnerabilità in tutti i sistemi fino alla release 4.3, significherebbe che oltre l’86 per cento degli smartphone Android in circolazione è potenzialmente soggetto a una grave intrusione nella vita digitale dei rispettivi proprietari. La frammentazione del panorama del sistema operativo mobile di Google, da sempre uno dei ritornelli più ripetuti dai suoi detrattori, in questo caso gioca un ruolo fondamentale: il tempo concesso da IBM a Mountain View prima di rivelare la falla ha permesso di tapparla nella più recente release 4.4 KitKat, ma quest’ultima si è fatta strada solo su una percentuale minore di apparecchi in commercio (in alcuni casi perché datati e dunque non più supportati dalle case produttrici, in altri a causa di un procedimento spesso lento e laborioso di produzione degli aggiornamenti). Le conseguenze di tale situazione potrebbero dunque essere serie, anche alla luce del fatto che (pur esistendo delle limitazioni tecniche) una qualsiasi app opportunamente studiata potrebbe sfruttare il baco e carpire le preziose informazioni.
Vale la pena quindi gettare un po’ d’acqua sul fuoco. Una precisazione riportata in cima all’advisory di IBM precisa che, stando a quanto riferito dall’Android Team, l’unica release affetta dal bug sarebbe la 4.3 : le precedenti e, naturalmente, le successive sono immuni dal problema. In questo modo la faccenda si ridimensiona non di poco, anche se non è comunque il caso di rilassarsi troppo: Google farebbe bene a rilasciare una patch al più presto, anche se questo non garantirebbe automaticamente l’approdo del codice aggiornato su tutti i dispositivi in circolazione. L’unica precauzione utile ad arginare la minaccia è evitare scrupolosamente il download di app da fonti non sicure: c’è da augurarsi che i marketplace ufficiali, quali Play di Google o quello Amazon per nominarne un paio, non ospitino applicazioni sviluppate al solo scopo di estorcere preziose informazioni sensibili agli utenti. ( L.A. )