In Android una vulnerabilità che compromette la sicurezza dei dispositivi in cui è installato: questo quanto segnala Jeff Forristal della Bluebox Security, società di San Francisco i cui ricercatori hanno scovato un grave problema che sembra risiedere nei certificati utilizzati per firmare le applicazioni da installare sul sistema operativo.
Secondo la documentazione di Google, le applicazioni Android devono essere prima firmate per poter essere installate sul sistema operativo, ma il certificato digitale utilizzato per apporre tale firma non sembra aver bisogno di alcuna autorizzazione per essere rilasciato in quanto è possibile auto-firmare il certificato stesso. Tra questi certificati ce ne sono alcuni hard-coded utilizzati da diversi sviluppatori in quanto garantiscono un accesso speciale con privilegi particolari in tutto il sistema operativo: un esempio è quello utilizzato da Adobe che, auto-firmandosi le proprie applicazioni con tale certificato, può di fatto mettere mano al codice di altre applicazioni installate sul dispositivo ad esempio per permettere loro di utilizzare il plugin relativo al Flash Player.
Sebbene questo sia un grosso vantaggio, di contro secondo Forristal un utente malintenzionato può auto-firmarsi un’app maligna con questo particolare certificato ed infettare conseguentemente tutto il sistema. Tagliando corto al lungo discorso affrontato da InfoWorld, il codice iniettato dal malware diventerebbe parte delle altre applicazioni ereditando le relative autorizzazioni: si avrebbe così accesso a tutti i dati memorizzati dalle app con la possibilità di eseguire le azioni che le stesse applicazioni infettate possono eseguire per via dell’autorizzazione approvata dall’utente in precedenza, con tutti i risolvi negativi che ne conseguono.
L’attacco può essere utilizzato solo per dirottare le applicazioni che utilizzano il componente WebView su versioni Android 4.3 e precedenti: tale componente è infatti basato sul browser open-source Chromium che, stando alle dichiarazioni di Forristal, non è più supportato dall’ultima versione di Android 4.4 KitKat. Secondo le statistiche di Google del mese di luglio, l’88% del traffico su GooglePlay arriva da dispositivi più vecchi di Android 4.4 KitKat, quindi la vulnerabilità potrebbe compromettere una grande fetta di utenza in tutto il mondo.
La vulnerabilità, soprannominata Fake ID, è stata segnalata a Google nel mese di aprile, la quale sembra aver finalmente inviato una patch ai produttori dei dispositivi che risolve il problema. Attualmente soltanto Motorola ha rilasciato gli aggiornamenti con la patch per alcuni dei suoi dispositivi, mentre nelle prossime settimane dovrebbero essere rilasciati gli aggiornamenti per i dispositivi di altre aziende tra cui Sony, HTC, Samsung ed LG.