Google ha comunicato di aver sviluppato una patch per il bug scoperto all’inizio del mese. L’aggiornamento è stato inviato ai produttori di dispositivi Android che, a loro volta, lo distribuiranno agli utenti. La vulnerabilità, individuata da Bluebox Security, permetteva di modificare i file APK senza alterare la chiave crittografica usata per la firma delle applicazioni. La falla di sicurezza è presente fin dal 2009, quando è stato rilasciato Android 1.6 Donut, quindi erano potenzialmente a rischio il 99% dei device venduti.
In realtà, gli utenti sono ancora in pericolo, in quanto bisognerà vedere quando e sopratutto se i produttori aggiorneranno tablet e smartphone in commercio da oltre tre anni. Probabilmente ciò non avverrà mai, per cui l’unica alternativa rimane l’installazione di una ROM non ufficiale (se il modello è supportato), ma ciò richiede le necessarie competenze per eseguire l’operazione.
Come ha spiegato Bluebox Security, la vulnerabilità risiede nel sistema di verifica delle applicazioni mediante firme crittografiche. Se un’app è stata modificata, Android ne impedisce l’installazione. Il bug invece permette ad un malintenzionato di ingannare il sistema operativo (e l’utente), alterando il codice del file APK, senza toccare la firma dell’applicazione. In questo modo è possibile inviare pacchetti infetti che, se installati, potrebbero prendere il controllo del dispositivo attraverso un malware. Ma come viene eluso il meccanismo delle firme?
Alcuni ricercatori di sicurezza hanno descritto il modo in cui funziona l’exploit. Molte applicazioni sono distribuite in formato APK, JAR o ZIP. Android effettua una scansione di questi file per rilevare eventuali malware. Il problema risiede nell’ordine in cui il sistema operativo rileva la presenza della firma digitale. Per ingannare il sistema di protezione è sufficiente inserire nell’archivio un file modificato prima dell’originale. Android vede il file non modificato con una firma valida e consente l’installazione del file infetto.
L’attacco può essere portato a termine solo se l’utente installa app non verificate, in quanto il Google Play Store integra uno scanner che rileva i malware e impedisce il download delle applicazioni infette. Attualmente solo Samsung ha rilasciato una patch per il suo Galaxy S4.
Aggiornamento: per verificare se il proprio dispositivo è vulnerabile, Bluebox Security ha pubblicato un’app scanner sul Google Play Store.