L'86% dei prodotti Android, cioè tutti quelli che non hanno KitKat, hanno una falla nel sistema che protegge i dati più sensibili. Le informazioni a rischio includono chiavi crittografiche come quelle usate per proteggere gli account bancari, l'accesso alle VPN o lo stesso codice PIN usato per accedere al dispositivo.
Il problema, spiega Dan Goodin di Ars Techinca, risiede in Android Keystore, "un'area molto sensibile del sistema operativo dedicato alla conservazione di chiavi crittografiche e altre credenziali". Ebbene, dei ricercatori in forza a IBM hanno scoperto che le informazioni conservate in quest'area si possono estrarre con attacchi mirati.
"Parlando in generale", spiega lo specialista Dan Wallach (Rice University), "se riesci a violare il KeyStore puoi accedere al posto dell'utente a tutti i servizi relativi alle app installate, o almeno per quelle applicazioni che ricordano chi sei e eseguono automaticamente l'accesso senza richiedere la password. Ciò significa che la maggior parte delle applicazioni bancarie, che richiedono la password tutte le volte, sono probabilmente al sicuro".
In altre parole questo attacco permetterebbe di sottrarre tutte le password salvate nel dispositivo, tranne che per quelle applicazioni che richiedono l'inserimento dei dati a ogni avvio. Posta elettronica, videogiochi, liste di cose da fare, calendari. Tutte le credenziali sono a rischio.
Portare a termine l'attacco non sarebbe semplice, perché Android vanta diversi meccanismi di protezione e riduzione dei rischi. Sarebbe anche necessario sfruttare un'app installata sul dispositivo, ma i criminali più volenterosi e abili potrebbero farcela. Di certo non mancherebbe loro la motivazione, perché stiamo parlando d'informazioni preziosissime con cui potenzialmente ci si potrebbe arricchire.
Il potenziale danno, continua Wallach, dipende quindi molto dalle applicazioni installate. Una cosa è violare l'account Twitter o quello Facebook, un'altra la VPN aziendale. Pau Oliva (ricercatore senior, viaForensics), aggiunge che "un malintenzionato potrebbe sfruttare questa vulnerabilità per generare chiavi RSA, firmarle e verificarle come se fosse il proprietario dello smartphone".
Al momento Google ha risolto il problema solo in Android 4.4, il che lascia a rischio circa l'86% dei prodotti in circolazione. Secondo il reporter di Ars Technica l'azienda potrebbe correggere anche le versioni di Android precedenti agendo su Bouncer, il filtro che controlla le app; ma secondo lui i risultati sarebbero appena sufficienti.