Android e malware, un binomio di cui purtroppo per gli utenti si parla spesso. Quanto pubblicato in un report di Bluebox Security non riguarda però statistiche sul volume delle applicazioni infette o la diffusione di una nuova minaccia, ma un bug presente nel sistema operativo fin dalla release 1.6 Donut rilasciata nel settembre 2009, che oggi rende potenzialmente vulnerabile al codice maligno il 99% dei dispositivi in commercio.
Ecco in estrema sintesi di cosa si tratta: solitamente le applicazioni sono verificate mediante un sistema di firme crittografiche, così da poter evitare l’esecuzione di aggiornamenti che non presentano la stessa chiave fornita dallo sviluppatore. Bluebox dichiara di aver scoperto come modificare i file APK senza toccare questa porzione di codice. Se sfruttato da malintenzionati, questo metodo può consentire l’invio di pacchetti corrotti o pericolosi agli utenti, portando questi a installarli senza sospettare nulla.
Fortunatamente un attacco di questo genere non può essere portato a termine mediante Google Play, in quanto bigG controlla e gestisce direttamente tutti i software resi disponibili per il download. Una situazione di pericolo può venirsi a verificare invece tramite store di terze parti o con le app distribuite tramite email o siti Web. Al momento non è chiaro se la vulnerabilità diventi un rischio effettivo solo attivando l’opzione “Origini sconosciute” oppure in ogni caso. Una volta stabilitosi nella memoria interna dello smartphone o del tablet, il malware può anche prenderne il controllo completo, rendendo il dispositivo parte di una botnet oppure accedendo a dati personali come contatti, messaggi, fotografie o video, nel peggiore dei casi per inviarli a server esterni.
Il team che ha scoperto la falla dichiara di averla resa nota a Google nel febbraio scorso, ma il gruppo di Mountain View ha scelto di non intervenire direttamente per porre rimedio al problema, delegando la questione ai singoli produttori che lo possono risolvere tramite il rilascio di patch o nuovi firmware. Secondo quanto riportato online Samsung Galaxy S4 ha già ricevuto un update di questo tipo, mentre per quanto riguarda la linea Nexus di bigG l’aggiornamento sembra essere ancora “work in progress”.