È emersa una vulnerabilità in Android che permette d'inserire malware nelle immagini. Google ha già sviluppato una patch in Android 4.4.2, ma purtroppo molti terminali in circolazione non la riceveranno mai. L'attacco permette di nascondere un APK dentro un'immagine, per esempio una PNG o una JPG, e installare un'app pericolosa senza che l'utente se ne accorga.
A scoprirlo sono stati Axelle Apvrille di Fortinet e Ange Albertini di Corkami; i due autori sottolineano che il codice pericoloso è nascosto da un layer crittografico che impedisce d'individuare facilmente la minaccia. L'attacco dimostrativo è stato battezzato AngeCryption e si sviluppa in modo piuttosto subdolo: è possibile sviluppare un APK "sano" che contiene un'immagine, e poi nascondere un altro APK - pericoloso - dentro a tale immagine. Una volta installata e avviata l'applicazione affidabile, l'utente clicca su un pulsante e attiva il "carico nascosto".
Secondo i ricercatori è molto probabile che un attacco simile passi inosservato. L'uso della crittografia AES per nascondere un APK dentro a un'immagine non è una tecnica scontata ma, spiegano i ricercatori, nemmeno troppo difficile da sfruttare.
Gli esperti hanno segnalato a Google il problema, ed è stata già sviluppata una patch per Android 4.4.2. È possibile che non sia sufficiente, e per questo si sta ancora studiando il problema. Il fatto è che l'attacco funziona e non ci sono modi per individuarlo senza decodificare il PNG; non è certo una cosa che si fa abitualmente.
La minaccia è concreta soprattutto per chi non ha l'ultima versione di Android, il che include moltissime persone il cui dispositivo non riceverà mai un aggiornamento ufficiale. Non resta che prestare la massima attenzione quando s'installa un'applicazione, e possibilmente limitarsi a usare quelle presenti sul Play Store - vale a dire che sarebbe meglio non usare APK che vengono da chissà dove.