Nuova minaccia per Android. A finire sotto accusa è questa volta una vulnerabilità del sistema operativo messa in luce dal dipartimento scientifico dell’Università Statale del Notrh Carolina, che permetterebbe agli sviluppatori malintenzionati di simulare l’invio di finti SMS al fine di spingere l’utente ad eseguire azioni come telefonate a numeri premium o la diffusione dei dati personali. Una pratica molto simile a quella ormai ben nota del phishing, ma in questo caso basata sui messaggi di testo anziché sulle email e per questo definita SMiShing.
Come ben visibile dal filmato in streaming a fondo articolo, realizzato a scopo esclusivamente dimostrativo dai ricercatori, un’app Android sprovvista di qualsiasi autorizzazione è in grado di inviare un SMS fittizio al dispositivo, anche senza che sia stata inserita una scheda SIM. L’esempio mostrato spiega bene in cosa consiste il rischio: il software fa comparire sul display la notifica relativa alla ricezione di un messaggio, con il numero di telefono del mittente impostato a piacimento e un testo contenente l’invito a chiamare numeri ad alta tariffazione o link verso siti pericolosi.
Il team ha subito avvisato Google del pericolo e i tecnici di Mountain View hanno dichiarato di essere già al lavoro per la sua risoluzione nelle prossime versioni di Android. Considerando però la frammentazione che ancora colpisce l’ecosistema (il problema riguarda tutte le versioni, dalla 1.x a Jelly Bean) e le tempistiche dilatate per il rilascio degli aggiornamenti è probabile che molti tra i telefoni oggi in commercio resteranno esposti alla vulnerabilità ancora a lungo. Come sempre accade in questi casi, il consiglio migliore è quello di prestare la massima attenzione durante il download delle applicazioni affidandosi solo allo store ufficiale Google Play, oltre ovviamente a diffidare di eventuali messaggi sospetti ricevuti.
[youtube]gLujaf0Y4-A[/youtube]