Il browser predefinito di Android (BROWSER) è un "disastro per la privacy" a causa di un bug che permette a un sito web di rubare dati piuttosto facilmente. Il browser infatti non riesce a separare adeguatamente gli elementi web, esponendo così l'utente al furto d'informazioni anche molto sensibili.
Le pagine a rischio sono quelle che integrano fonti diverse, per esempio tramite iframe. Questo strumento, come altri, serve a mostrare in un certo sito (dominio.net) i contenuti di un altro sito (dominio2.net). È lo strumento usato per integrare i video di YouTube, tra le altre cose.
Il corretto isolamento è importante anche tra diverse finestre/schede dello stesso browser. "Immaginate di visitare il sito pericoloso e di avere in un'altra finestra aperta la posta elettronica", scrive infatti l'hacker specializzato in mobile Tod Beardsley su Metasploit, "il criminale potrebbe raccogliere i dati dell'email e vedere ciò che vede il vostro browser. Peggio, potrebbe copiare i cookie di sessione e prendere completamente il vostro posto, nonché leggere e scrivere email in vostra vece".
Il fatto è che questi elementi devono essere ben isolati, altrimenti possono diventare dei veri e propri cavalli di Troia. Per garantire la sicurezza in questo caso c'è persino un concetto di base noto come Same Origin Policy (SOP): sostanzialmente si riconoscono gli stessi permessi agli elementi provenienti da un certo sito, ma non a quelli di origine diverse. Se questo principio non viene rispettato, ecco il "disastro per la privacy".
Ed è proprio su questo punto che BROWSER mostra il fianco: se s'inseriscono informazioni in una certa pagina (login, password, dati anagrafici, carta di credito), gli elementi esterni possono spiare e sottrarre i dati. l ricercatore indipendente Raafay Baloch ha evidenziato per primo il problema, e dopo averlo esaminato ha anche scritto alcuni attacchi dimostrativi (POC, Proof of Concept).
"La buona notizia", scrive Paul Ducklin di Sophos, "è che il browser Android è stato abbandonato da Google". E infatti nei prodotti con Android 4.4 non lo troviamo preinstallato. Ma questo vale purtroppo solo per i telefoni più recenti. "E visto che BROWSER non è più in sviluppo, questo bug potrebbe anche restare intoccato, a meno che il produttore del telefono stesso non decida di aggiornare il firmware per sostituirlo".
La soluzione fortunatamente è semplice: basta smettere di usare il browser predefinito e affidarsi a un programma diverso, come Chrome, Firefox, Opera o altri. Probabilmente sarà impossibile disinstallare BROWSER, ma dovrebbe essere possibile almeno disabilitarlo - dal menù dedicato a tutte le applicazioni.
Sembrerebbe quindi un problema da niente, ma forse è il caso di prenderlo seriamente. I telefoni Android 4.3 e precedenti dopotutto rappresentano la maggioranza dei prodotti in circolazione, e se ci si limita ai modelli meno costosi diventano il 100%. E non saranno poi molte le persone che leggeranno articoli come questo e porranno la giusta attenzione sul problema: tanti altri continueranno a navigare più o meno inconsapevoli della minaccia. Il rischio di un attacco che sfrutti questo bug è quindi tutt'altro che remoto, e il termine "disastro" forse non è proprio inadeguato.