Oltre alla complicata situazione di mercato in cui si è venuto recentemente a trovare dopo la presentazione del “Googlefonino” Nexus One, il sistema operativo Android deve ora fare i conti anche con questioni inerenti la sicurezza, o meglio dire l’insicurezza a cui può essere soggetto il marketplace delle app per smartphone e un baco nel sistema di autenticazione riscontrato nel DROID di Motorola .
Nel caso dell’Android Market il problema consiste in un’applicazione malevola (o una serie di applicazioni) messa online da tale Droid09 , che dietro l’innocente facciata di client per operazioni bancarie camuffa una natura di vero e proprio attacco di phishing sviluppato per raccogliere credenziali di accesso di ignari clienti in possesso di uno smartphone basato su Android.
L’avvertimento circa l’esistenza della truffa arriva dalla banca di credito cooperativo First Tech , che dice di non essere comunque la vittima designata della gang che si nasconde dietro il nickname Droid09. L’appliance è stata messa in circolazione a dicembre ma la notizia della sua pericolosità è divenuta di pubblico dominio solo in questi giorni grazie alla news pubblicata nella sezione “Fraud Alerts” del sito dell’istituto bancario.
Sia come sia l’incidente mette in evidenza la permeabilità del sistema di selezione delle appliance per il marketplace di Android , che al contrario ad esempio di quello per iPhone non impone agli sviluppatori limiti draconiani o il passaggio attraverso le Forche Caudine del processo approvazione di Apple. L’appliance malevola è stata individuata in fretta ma non avrebbe dovuto nemmeno comparire online, motivo per cui d’ora in poi gli utenti di smartphone avanzati dovranno chiedersi con molta attenzione quale dei due approcci sia più adatto alle loro capacità ed esigenze di computing in formato ridotto.
Di vera e propria vulnerabilità di sicurezza si parla poi nel caso di DROID, lo smartphone di Motorola – il primo basato su Android versione 2.0 – con cui la casa statunitense intende risollevare le sue sorti commerciali. La schermata di protezione del dispositivo, in risposta alla quale l’utente deve generalmente indicare un percorso specifico in una griglia di punti 3×3 con lo schermo touchscreen, è infatti facilmente bypassabile con il tasto “back” quando è in arrivo una chiamata.
Google ha confermato di essere a conoscenza del problema e di essere al lavoro su una pezza , anche se non viene comunicata alcuna timeline specifica per la sua distribuzione. La vulnerabilità sembra infine interessare soltanto gli smartphone DROID con installato Android versione 2.0.1.
Alfonso Maruccia