Esperti nel campo della sicurezza hanno dimostrato due vulnerabilità che consentono l’installazione di applicazioni su dispositivi Android senza bisogno di richiedere specificatamente il permesso dell’utente. Quando si esegue la normale installazione di un App, il sistema operativo chiede conferma verificando che l’utente abbia effettivamente le credenziali per installare un’applicazione; bypassando la conferma è potenzialmente possibile installare spyware o pericolosi dialer all’insaputa dell’utente. Tecnicamente le vulnerabilità sono interessanti poiché non richiedono l’attacco a livello del kernel ma possono essere portate a termine avviando alcune operazioni nel normale userspace. Eseguendo prove su alcuni dispositivi HTC è stato notato che il browser web integrato consenta di installare pacchetti: una funzionalità prevista per aggiornare automaticamente il plug-in Flash Lite ma potenzialmente sfruttabile anche per installare pericolose applicazioni a insaputa dell’utente.
La prima vulnerabilità riguarderebbe Android 2.1 ed è stata sistemata con Android 2.2 ma pare che a oggi solo un terzo degli utenti abbia eseguito l’aggiornamento alla versione più recente del sistema. L’Android specialist Jon Oberheide, ha mostrato un’altra falla che sfrutta un bug dell’Account Manager generando il token di autenticazione con il quale si ottiene il permesso di installare app dall’interno di altre app. Il meccanismo richiede un’applicazione “cavallo di Troia” con la quale ingannare gli utenti ma questo, come si può facilmente immaginare, è un problema facilmente risolvibile. Oberheide, ad esempio, ha rilasciato “Angry Birds Bonus Levels”, un gioco apparentemente innocuo che in realtà, di nascosto (all’insaputa dell’utente) installa tre applicazioni: “Fake Toll Fraud”, “Fake Contact Stealer” e “Fake Location Tracker”. L’applicazione “Fake Tool Fraud” possiede i privilegi per spedire SMS. Google ha immediatamente rimosso l’applicazione di Oberheide dal Market. A giugno di quest’anno l’esperto di sicurezza aveva realizzato un’altra app per dimostrare la vulnerabilità ma questa è stata rimossa a distanza con il famigerato switch-killer che consente in casi estremi di rimuovere applicazioni pericolose.
[A cura di Mauro Notarianni]
