Ricercatori di un'università californiana hanno dimostrato che quasi tutte le applicazioni Android si possono sfruttare per rubare dati. È infatti possibile usare un'app scritta ad hoc per penetrare negli altri programmi installati senza che l'utente abbia concesso alcun permesso.
Come spesso accade, è necessario prima di tutto indurre l'utente a installare un'applicazione compromessa – ma la storia recente ci insegna che questo passaggio è piuttosto semplice (Intasca 30mila dollari con una app che non fa nulla). A quel punto l'attacco sfrutta la memoria condivisa per sottrarre informazioni da altre applicazioni; di fatto il malware riesce a superare la sandbox di Android. Secondo i ricercatori, in linea del tutto ipotetica, lo stesso problema potrebbe esistere anche su Windows Phone e iOS.
Guardando alla resistenza delle singole applicazioni, emerge che Gmail è l'applicazione che cade più facilmente, con una percentuale di successo pari al 92%. Questo è particolarmente preoccupante, perché l'accesso alla posta elettronica potrebbe tradursi nell'accesso a qualsiasi account in nostro possesso.
Nessuna delle altre app testate tuttavia si è rivelata particolarmente resistente. La migliore della classe è stata quella di Amazon, che ha ceduto agli attacchi "solo" il 48% delle volte. A cadere sono state anche molte applicazioni bancarie, che di fatto hanno ceduto i dati di accesso al conto corrente.
L'errore di base sta nella convinzione che le app non possano interagire facilmente tra loro. "Abbiamo dimostrato che non è così", afferma Zhiyun Qian, assistente presso l'Università della California. "Per definizione, Android permette di impossessarsi o di manipolare le applicazioni. Ma bisogna farlo al momento giusto, affinché l'utente non se ne accorga. Noi ci siamo riusciti, ed è questo che rende unico il nostro attacco".
Non è un bug, è una feature. Ebbene sì, questa vecchia battuta si ripresenta e ci aiuta a capire perché questo problema non è di facile soluzione. L'attacco infatti sfrutta le caratteristiche di Android fatte apposta per far parlare le applicazioni tra di loro; ci vorrà del tempo quindi per trovare una soluzione che non comprometta il funzionamento delle app stesse.
htc one | ||
Samsung Galaxy S5 | ||
Nokia Lumia 930 | ||
iPhone 5S 16GB |
L'unica, magra, consolazione, è che almeno per ora questo attacco è stato sviluppato solo in laboratorio – vale a dire che non si ha notizia di criminali che lo stanno già sfruttando per rubare dati. Non ancora almeno.