Nel mese di luglio l’allarme lanciato da Bluebox Security: il 99% dei dispositivi Android è vulnerabile e la sicurezza dei dati contenuti può essere compromessa da un malintenzionato attraverso un semplice file APK. La causa del problema è da ricercare nel sistema di verifica delle firme digitali adottato dal sistema operativo, più comunemente chiamato Master Key. A quanto pare, anche l’ultimo aggiornamento della piattaforma annunciato giovedì, Android 4.4 KitKat, presenta la stessa falla.
A parlarne è Jay Freeman, meglio noto come Saurik (sviluppatore di Cydia), con un intervento sul proprio sito ufficiale, dopo aver analizzato il codice sorgente pubblicato su AOSP. L’entità del problema sembra non essere la stessa delle precedenti release, ma Google pare non aver ancora trovato una soluzione definitiva per quello che rischia di diventare un vero e proprio tallone d’Achille per il sistema operativo. Il motore di ricerca potrebbe agire come già visto in passato, ovvero pubblicando al più presto una patch correttiva per i device della linea Nexus, ma per gli altri modelli il compito è affidato a produttori e operatori telefonici, con ovvi ritardi.
Chi è interessato ai dettagli tecnici della questione può trovare tutto ciò che desidera nel lungo e dettagliato articolo pubblicato da Freeman, con tanto di esempi concreti di applicazioni che cercano di sfruttare il bug. Per tutti gli altri si ribadisce ancora una volta il consiglio migliore quando si parla di smartphone e tablet: diffidare per quanto possibile dagli store di terze parti ed evitare di installare software la cui origine è sospetta o comunque non certificata. In altre parole, nel caso di Android meglio affidarsi al Play Store e, se proprio non si può resistere alla tentazione, scegliere con cura una fonte conosciuta per gli APK da scaricare.
Il rischio è elevato, così come dev’essere il livello di attenzione. Sfruttando la falla è possibile assumere il controllo completo di un dispositivo, accedendo sia ai dati personali salvati nella memoria interna che utilizzandolo per compiere qualsiasi azione, come l’invio di messaggi a numerazioni premium con ovvie conseguenze sul portafogli dell’utente.