La personalizzazione di Android Samsung aveva gravi falle di sicurezza. Undici per la precisione, e piuttosto facili da trovare. A dirlo sono i ricercatori in forza a Google Project Zero, nato alcuni anni fa proprio con l'intenzione di individuare falle di sicurezza.
È stato esaminato il recente Samsung Galaxy S6, e si è scoperto che il suo software contiene 11 vulnerabilità. Una di esse (CVE-2015-7888) permette di scrivere dati in posizioni non autorizzate. Un difetto che, secondo Mark Brand, si può sfruttare facilmente.
C'è poi un problema nel client di posta predefinito, che se sfruttato permetterebbe a un'app di inoltrare messaggi senza l'autorizzazione del proprietario. I ricercatori hanno anche rilevato che è possibile eseguire codice JavaScript all'interno del client email. Sono poi stati scovati problemi di driver (buffer overflow), che si potrebbero usare per scalare i privilegi. Ci sono inoltre possibili rischi nell'apertura delle immagini in galleria e con il media scanner integrato.
"In generale", si legge sul blog di Project Zero, "abbiamo trovato un buon numero di difetti molto gravi, anche se esistono alcune efficaci misure di sicurezza sul dispositivo, che ci hanno rallentato […]. È sorprendente anche aver trovato tre problemi logici facili da sfruttare. Questi tipi di problemi sono particolarmente preoccupanti perché il tempo per trovarli e sfruttarli è molto breve".
Il team ha comunicato i problemi a Samsung, che ne ha corretti otto con l'aggiornamento di ottobre 2015, e dovrebbe risolvere gli altri con il prossimo update.
La minaccia in sé non è quindi particolarmente grave, ma è invece rilevante che i ricercatori di Google abbiano investito una sola settimana di lavoro per scovare ben undici possibili minacce, lavorando su un solo dispositivo.
Una vicenda che rimanda a una vecchia questione: le personalizzazioni di Android spesso riducono la sicurezza del sistema - in questo caso è Samsung ma vale anche per altri marchi. Va benissimo che i vari OEM si facciano una propria versione del sistema operativo, anzi ne hanno bisogno per differenziarsi e creare qualcosa di unico agli occhi dei compratori. Non va bene invece che lo facciano a spese della sicurezza, e sarebbe il minimo chiedere che la loro personalizzazione sia sicura almeno quanto la versione base di Android da cui partono. È difficile naturalmente, perché se si rende un software più complesso aumenta anche il rischio di bug; ma non per questo dovremmo accontentarci.