Android ha un bug vecchio di quattro anni, grazie al quale è possibile diffondere malware tramite applicazioni modificate ad hoc. Lo affermano i ricercatori di Bluebox Labs, una società specializzata in sicurezza mobile; nell'articolo pubblicato dal CTO Jeff Forristal si afferma che la falla esiste dalla versione 1.6 del sistema operativo, e riguarda il 99% dei dispositivi esistenti.
Secondo gli specialisti di Bluebox sarebbe possibile modificare il file APK di un'applicazione senza alterare la firma crittografica, ingannando così il sistema di sicurezza di Android. In tal modo si potrebbe aggiungere del codice pericoloso all'app. Successivamente bisogna trovare un modo per installare l'applicazione modificata sul telefono bersaglio. In caso di successo si potrebbero rubare tutti i dati sensibili presenti sullo smartphone oppure usarlo come parte di una botnet.
Telefono HTC compromesso
La vulnerabilità è stata resa pubblica da Google lo scorso febbraio, ma sta ai vari produttori aggiornare il software per rendere più sicuri gli smartphone. Samsung ha già provveduto per il Galaxy S4, ma è una delle poche aziende ad averlo fatto; paradossalmente, la linea Nexus - di cui è responsabile direttamente Google - è ancora in attesa, e peggio ancora alcuni prodotti recenti (come per esempio l'HTC One S) non riceveranno mai la patch.
Qual è il pericolo reale per gli utenti Android? Per la maggior parte delle persone, è minimo: non è infatti possibile distribuire l'aggiornamento malevolo tramite il Play Store, che può verificare l'affidabilità dei file. A meno che non salti fuori una falla anche nel negozio digitale, un eventuale malintenzionato dovrà spingere l'utente all'installazione con altri sistemi - negozi di applicazioni alternativi, mail di phising o altro.
Secondo BlueBox Labs però "le implicazioni sono enormi" e "i rischi per singoli e aziende molto grandi". La società mette in evidenza come il pericolo si accentui se si prendono in considerazione le applicazioni sviluppate dal produttore dello smartphone stesso, oppure quelle sviluppate da singole imprese e installate sui terminali dei dipendenti - perché di solito hanno privilegi di accesso molto elevati. È senz'altro un pericolo concreto se si viene presi di mira direttamente: qualcuno di voi potrebbe finire nel mirino di questi cecchini digitali?