Una ricerca condotta dal gruppo Coverity sul codice Android contenuto nell’HTC Droid Incredible ha rivelato un alto numero di vulnerabilità, molte delle quali ad alta gravità, che gettano una nuova luce sul codice usato nel sistema operativo made in Google. Ed il problema non è da sottovalutare: gli smartphone sono sempre più utilizzati tanto nel privato quanto nelle realtà aziendali, dunque la sicurezza dei medesimi diventa un aspetto sempre più cruciale per garantire una sana crescita al comparto ed una maggior tutela all’utilizzatore finale.
La ricerca Coverity ha rivelato per Android 359 diverse vulnerabilità, 88 delle quali ad alto rischio e 271 di medio rischio. Il problema sarebbe direttamente correlato alla natura open source del sistema, ma nello specifico viene sottolineato come l’incidenza delle vulnerabilità di Android sia più alta rispetto alla frequenza media dell’ecosistema Linux in generale. A parziale consolazione, Coverity segnala altresì come la situazione del kernel Android non sia comunque differente da quella media del comparto, con anzi una media di 1 linea “bacata” ogni 2000 linee di codice contro l’1 per mille medio del settore.
Coverity ha segnalato le proprie scoperte a Google spiegando di voler operare nel pieno rispetto delle regole di “responsible disclosure”. La pubblica segnalazione della scoperta mette però pressione al team di Mountain View, il quale si affretta a promettere maggiori approfondimenti sul tema ed eventuali aggiornamenti over-the-air per i device coinvolti. Nessun commento da HTC.
Le vulnerabilità emerse potrebbero causare perdita di dati, crash del sistema, accesso alla memoria ed altre situazioni facili da tradurre in attacco truffaldino (utilizzando ad esempio il sistema colpito per inviare SMS ad alto costo, per accumulare immediato ritorno economico).
Il team Coverity punta comunque ripetutamente il dito sulla natura open source di Android indicandola come motivo primo dei problemi emersi nel codice: l’altra frammentazione dei contributi implica una gestione più complessa del progetto complessivo e la cosa porta ad un approccio alla sicurezza tipico di quello che è il mondo “open”.