Primavera ed Estate 2014 non sono certamente stati periodi di buon auspicio per Android e il suo market per eccellenza, ovvero Google Play Store. Dopo il recente e feroce exploit di app spacciate per antivirus, quando a tutti gli effetti si rivelavano software in grado di derubare l’utente di credenziali ed informazioni personali, il sistema operativo mobile per eccellenza si scontra infatti con una scomoda verità.
Il problema in questione è dettato dal fatto che circa la metà delle 50 app complessivamente più popolari della piattaforma mostrano, all’interno del proprio codice, delle vulnerabilità di sicurezza derivate dal vero e proprio riciclaggio di alcune library utilizzate per creare il relativo software.
Ereditando così i difetti di altre app, magari dalle funzionalità completamente differenti, la vulnerabilità va diffondendosi a ritmo rapidissimo, ed altrettanto pericoloso.
La scoperta è ad opera di Codenomicon, già distinto per aver scoperto numerose informazioni sulla vulnerabilità OpenSSL, che continua a mietere vittime a livello mondiale, seppure su sistemi non aggiornati, ed inventato il nome della relativa falla di Heartbleed.
La pericolosità dei bug in questione è imminente, essendo in grado di inviare informazioni non criptate a reti di advertising esterno, ed ancora una volta -naturalmente- ad insaputa dell’utente.
La falla, che ancora non ha ricevuto un nome identificativo, in quanto si tratta, come abbiamo notato, del semplice riciclaggio di librerie open source sfruttate spesso nella creazione di app, è in grado così di propagare gli errori di logica e le vulnerabilità complessive, nonostante il codice possa essere migliorato in qualità della sua assenza di copyright.
Tra i dati maggiormente sfruttati nelle transazioni indesiderate compiute dalle app, ritroviamo l‘Android ID relativo all’utente, il codice IMEI o dati relativi alla localizzazione personale.
Codenomicon invita, nel frattempo, tutti i creatori di app a testare i codici binari attraverso sistemi di sandbox, che consentono di rivelare i reali contenuti e le potenziali minacce dell’applicazione considerata.
In quanto agli utenti, la possibilità di non essere colpiti da almeno un’app in grado di rivelare tali dati è alquanto remota; tuttavia selezionare rigorosamente le app che non richiedono autorizzazioni particolari al momento dell’installazione può rappresentare un primo passo verso la protezione, in attesa dello strumento definitivo che ci consenta di mettere a fuoco le app più problematiche del tanto apprezzato Play Store, in tutta sicurezza.
Lascia un commento