ReKey per Android, patch per il bug delle firme

Da circa una settimana Google ha distribuito agli OEM un fix per la vulnerabilità individuata nel sistema di verifica mediante chiave crittografica, utilizzata da Android per verificare se il file di installazione delle app risulta contraffatto. Il bug è piuttosto grave, dato che il 99% dei dispositivi venduti è a rischio ma, come previsto, la maggioranza dei produttori non ha ancora rilasciato la patch per i propri device. Fortunatamente, per gli utenti che hanno effettuato il rooting dello smartphone o del tablet, esiste una soluzione.

Duo Security e il System Security Lab della Northeastern University di Boston hanno sviluppato l’app ReKey che può essere installata per chiudere la falla dovuta alla vulnerabilità Master Key scoperta da Bluebox all’inizio del mese, senza attendere l’aggiornamento del produttore o dell’operatore telefonico, attesa che potrebbe prolungarsi all’infinito, se il dispositivo non viene più supportato. Le probabilità di essere attaccati (se l’utente installa app non verificate da fonti esterne al Google Play Store) è in aumento, in quanto circola già un proof of concept che permette ai malintenzionati di ottenere il controllo completo del device.

Purtroppo ReKey è compatibile solo con dispositivi rooted. Il perché di questo vincolo è spiegato nelle FAQ sul sito ufficiale: l’app deve accedere al sistema operativo e quindi operare con privilegi elevati. La vulnerabilità è presente nel software scritto in Java ed eseguito dalla Dalvik Virtual Machine. ReKey “inietta” una piccola porzione di codice nel framework di Android che applica una patch alle classi ZipEntry e ZipFile, risolvendo la causa principale del bug. Oltre al fix, l’app installa un sistema di warning che avviserà l’utente nel caso in cui un’applicazione tenti di sfruttare la vulnerabilità.