La versione Web dell'Android Market potrebbe facilitare la diffusione di malware e spyware. A lanciare l'allarme è Sophos, la quale si è soffermata sul processo che consente di scaricare le applicazioni sugli smartphone. Il sito consente agli utenti di sfogliare, ricercare e installare applicazioni Android dal web, in alternativa all'accesso allo store presente su ogni smartphone/tablet (Android 3.0 e Market Web: ecco tutte le novità). Per installare un'applicazione sul vostro terminale, Google vi richiede le credenziali - email e password - permettendo che il processo avvenga over the air (OTA, senza collegamenti), in background, senza che dobbiate dare nuove conferme.
"L'aspetto più importante nel processo d'installazione riguarda i permessi richiesti dalle app sul dispositivo dopo l'installazione. Gli utenti Android dovrebbero leggere attentamente i permessi prima d'installare qualsiasi applicazione, dall'Android Market ufficiale o da un'altra fonte". Sophos ha fatto un esempio: se un gioco ha tra i suoi permessi la possibilità d'inviare o ricevere SMS, bisogna insospettirsi e procedere all'installazione solo se si è certi che quella funzionalità faccia legittimamente parte del gioco.
L'Android Market visualizza correttamente i permessi richiesti, ma è il passo successivo che – secondo Sophos – è da "cartellino rosso". "Una volta che l'utente clicca sul tasto Installa presente sul sito Web, il dispositivo mobile inizierà automaticamente a scaricare l'applicazione in background. Se qualcuno riesce a rubarvi la password del vostro account, è in grado d'ingannare il vostro smartphone, installandoci sopra del software senza che abbiate concesso l'autorizzazione dal dispositivo". Per questo motivo le password Google potrebbero assumere agli occhi dei potenziali malintenzionati maggior valore, tanto che potrebbero aumentare gli attacchi phishing verso gli indirizzi Gmail.
"In futuro i malintenzionati potrebbero voler rubare le credenziali degli account non solo per inviarvi spam, ma anche per installare malware sui vostri dispositivi Android. Google dovrebbe cambiare il meccanismo d'installare remota al più presto". Sophos suggerisce almeno d'inserire una finestra di dialogo sul dispositivo che riceve l'applicazione, in modo che l'acquirente possa confermare l'acquisto.
Il problema è serio. I malintenzionati potrebbero inserire sullo store applicazioni con nomi molto simili a quelli delle più quotate, ingannando gli utenti. Abbiamo provato l'Android Market e visto che effettivamente il processo funziona come riportato da Sophos. Per evitare che un'applicazione sia scaricata automaticamente dal vostro terminale basta disabilitare l'opzione per la sincronia dei dati in background, anche se una volta riabilitata, il telefono inizia a scaricare le applicazioni in coda (al momento non sappiamo se questa cronologia della app da scaricare abbia o meno un limite di tempo).
Stati Uniti, nuovi satelliti per lo spionaggio globale
Attacco hacker contro Governo.it: nessun ferito
Linux si riaffaccia su PS3, Sony se la prende con tutti
Telecom dice no alla fibra nelle case: ricetta Gpon
Steam miliardario, i giochi PC si scaricano con Valve
Nanolaser sul silicio, CPU velocissime grazie alla luce
Kodak EasyShare M590, la più sottile al mondo
Qnap TS-112, TS-212, TS-412: NAS per la casa
Indirizzi IPv4 finiti nel 2011, poi IPv6 o niente
Fastweb alleandosi con Sky penalizza i clienti IPTV
Acer GN245HQ, monitor con Nvidia 3D Vision
Sony NGP è come la PS3, gli sviluppatori già la amano
Battlefield 3: multiplayer con 64 giocatori
Asus sfida l'iPad 2: abbiamo un'arma segreta
Google prona con l'Antitrust UE, altro che Microsoft
Vodafone Mobile Internet: il VoIP adesso è vietato
Cellulare TTM Outlimits Solaris con pannello solare integrato Mio Cyclo 300 e Mio Cyclo 305 HC sono GPS da bicicletta Facebook vuole Opera per realizzare un nuovo browser? Microchip nei cetacei per studiare il clima e la fauna marina Le offerte 3 Italia per il Samsung Galaxy SIII in anteprima Steve Jobs geniale ma Cook è il capo perfetto per Apple Absinthe 2.0 per il jailbreak del Nuovo iPad e iOS 5.1.1 Google cancella 1,2 milioni di link pirata al mese TV a Ultra Alta Definizione: si parla già di standard Video e foto niente male con i Project Glass di Google Google cancella 1,2 milioni di link pirata al mese Video e foto niente male con i Project Glass di Google Google assolta perché Android non viola i brevetti Oracle Android Malware Genome Project apre i battenti Musica elettronica: da Robert Moog alle onde ultrasoniche Antitrust UE: ultimatum a Google sulla pubblicità online Chrome ha sorpassato definitivamente Internet Explorer Android 5 moltiplica i Google Nexus, famiglia numerosa Chrome 19 sincronizza le schede con Android ed è più sicuro Quale browser usare su un vecchio computer con Windows XP? Le offerte 3 Italia per il Samsung Galaxy SIII in anteprima Google assolta perché Android non viola i brevetti Oracle Intervista: i giochi Android e iOS sfideranno Xbox, Playstation e PC Tablet Tegra 3 con Android 4.0 a 199 dollari, ormai ci siamo Android Malware Genome Project apre i battenti VIA APC è il concorrente del Raspberry Pi con Android VIA Technologies APC - PR LG Optimus L3 per chi non ha pretese - Video Recensione Motorola RAZR MAXX porta in Italia la batteria dei record Il Samsung Galaxy S 3 è già pronto per le ROM cucinate
Originariamente inviata da MacCarron
Dove sta scritto che una app "clone" via web ha accesso alla mia password di gmail? E se così fosse..perchè non vi avrebbe accesso se installata via telefono? Ti devi loggare lo stesso...e lo fai una volta sola, se via web cancelli il cookie lo devi rifare, mentre via telefono devi fare un hard reset... Cioè...No fatemi capire..il Web Market è il Male perchè potrei essere tanto gonzo da farmi scippare la password? Allora le carte di credito sono Satana perchè potrei perdermele e non accorgermene. Le automobili sono il Demonio perchè potrei lasciarla aperta e in folle in un parcheggio. Ma che ragionamenti della minchia sono?
Originariamente inviata da zephyr83
nn mi pare ci sia scritto questo nella notiza! Se qualcuno riesce ad avere accesso alle tue credenziali puoi andare sul market, installare la propria applicazione-malware così tu te la ritrovi sul telefono senza manco accorgetene!
Originariamente inviata da MacCarron
Appunto..se lascio casa mia aperta mi ci ritrovo dentro una banda di ladri senza manco averli invitati! Cioè..non so se mi spiego..Mr Sophos ha scoperto che se la gente è idiota qualcuno se ne può approfittare
le credenziali degli account google si cercano da sempre di fregare (e nn solo quelle di google) principalmente per inviare spam!! Ma se qualcuno riesce ad ottenere (in qualsiasi maniera) la tua password di gmail oltre a spammare cn il tuo indirizzo può anche farti installare sul tuo telefono android applicazioni-malware senza che tu te ne accorga. Nn si sta dicendo che per colpa del market web possono fregarti la password......la notizia dice che se già ti hanno fregato la password, grazie al market web possono installarti applicazioni malevoli sul tuo dispositivo android! è ben differente la cosa 
Originariamente inviata da zephyr83
no mi pare che nn hai ancora capito
ed effettivamente concordo, come c'è scritto anche nella notizia basterebbe un avviso sul telefono appena un'applicazione presa dal market web cerca di installarsi sul telefono così se nn sn proprio rintronato completamente mi accorgo se c'è qualcosa che nn va
. Intanto come ti dicevo l'avviso di installazione E' PRESENTE. Esattamente come installando un'applicazione dal market via telefono. Compare l'iconcina di download nella barra, ti dice download completato, poi installazione in corso e quindi installazione completata. E finchè tu non rimuovi la notifica questa rimane là. Poi, ovvio che ora le password di GMail sono più allettanti, ma, di nuovo, tutto sta nelle mani dell'idiozia della gente! Non direi proprio che Google debba cambiare metodo (come auspica nell'articolo) perchè qualcuno potrebbe farsi rubare la password o essersela già fatta rubare! Fosse così tutti gli esempi che ho fatto in precedenza richiederebbero una rivoluzione del nostro modo di vivere. Anzi, probabilmente dovremmo ammazzarci tutti, per essere "sicuramente al sicuro"
Android Ice Cream, le funzioni tablet su smartphone Samsung Galaxy SL i9003, il Galaxy S senza AMOLED Android 3.0 e Market Web: ecco tutte le novità Android 3.0 - Honeycomb - PR Android Market - Desktop LG Optimus 3D, lo smartphone non vuole gli occhiali Android leader mondiale nel segmento smartphone 20 Applicazioni per Android da non perdere Huawei Ideos, Android costa solo 99 euro Android piace agli sviluppatori: il tablet è proletario Le applicazioni Android si vendono poco: che fare? Smartphone Android anche nello spazio Motorola Droid X2, con chip Tegra 2 da 1 GHz
28 commenti
Commenti