La versione Web dell'Android Market potrebbe facilitare la diffusione di malware e spyware. A lanciare l'allarme è Sophos, la quale si è soffermata sul processo che consente di scaricare le applicazioni sugli smartphone. Il sito consente agli utenti di sfogliare, ricercare e installare applicazioni Android dal web, in alternativa all'accesso allo store presente su ogni smartphone/tablet (Android 3.0 e Market Web: ecco tutte le novità ). Per installare un'applicazione sul vostro terminale, Google vi richiede le credenziali - email e password - permettendo che il processo avvenga over the air (OTA, senza collegamenti), in background, senza che dobbiate dare nuove conferme.
"L'aspetto più importante nel processo d'installazione riguarda i permessi richiesti dalle app sul dispositivo dopo l'installazione. Gli utenti Android dovrebbero leggere attentamente i permessi prima d'installare qualsiasi applicazione, dall'Android Market ufficiale o da un'altra fonte". Sophos ha fatto un esempio: se un gioco ha tra i suoi permessi la possibilità d'inviare o ricevere SMS, bisogna insospettirsi e procedere all'installazione solo se si è certi che quella funzionalità faccia legittimamente parte del gioco.
L'Android Market visualizza correttamente i permessi richiesti, ma è il passo successivo che – secondo Sophos – è da "cartellino rosso". "Una volta che l'utente clicca sul tasto Installa presente sul sito Web, il dispositivo mobile inizierà automaticamente a scaricare l'applicazione in background. Se qualcuno riesce a rubarvi la password del vostro account, è in grado d'ingannare il vostro smartphone, installandoci sopra del software senza che abbiate concesso l'autorizzazione dal dispositivo". Per questo motivo le password Google potrebbero assumere agli occhi dei potenziali malintenzionati maggior valore, tanto che potrebbero aumentare gli attacchi phishing verso gli indirizzi Gmail.
"In futuro i malintenzionati potrebbero voler rubare le credenziali degli account non solo per inviarvi spam, ma anche per installare malware sui vostri dispositivi Android. Google dovrebbe cambiare il meccanismo d'installare remota al più presto". Sophos suggerisce almeno d'inserire una finestra di dialogo sul dispositivo che riceve l'applicazione, in modo che l'acquirente possa confermare l'acquisto.
Il problema è serio. I malintenzionati potrebbero inserire sullo store applicazioni con nomi molto simili a quelli delle più quotate, ingannando gli utenti. Abbiamo provato l'Android Market e visto che effettivamente il processo funziona come riportato da Sophos. Per evitare che un'applicazione sia scaricata automaticamente dal vostro terminale basta disabilitare l'opzione per la sincronia dei dati in background, anche se una volta riabilitata, il telefono inizia a scaricare le applicazioni in coda (al momento non sappiamo se questa cronologia della app da scaricare abbia o meno un limite di tempo).
###old701###old