HTC ha annunciato la disponibilità di un aggiornamento software per alcuni smartphone Android. Il fix risolve una grave vulnerabilità scoperta lo scorso mese di settembre che mette a rischio la sicurezza delle connessioni WiFi, permettendo ad un malintenzionato di accedere alle credenziali di accesso attraverso le applicazioni.
I ricercatori di sicurezza Chris Hessing e Bret Jordan hanno divulgato solo oggi i dettagli sulla vulnerabilità, in quanto HTC ha reso disponibile l’aggiornamento agli utenti in possesso dei seguenti smartphone Android: Desire HD (versioni FRG83D e GRI40), Glacier (versione FRG83), Droid Incredible (versione FRF91), Thunderbolt 4G (versione FRG83D), Sensation Z710e (versione GRI40), Sensation 4G (versione GRI40), Desire S (versione GRI40), EVO 3D (versione GRI40) e VO 4G (versione GRI40).
Alcune applicazioni potevano leggere lo stato della connessione WiFi, utilizzando il permesso ACCESS_WIFI_STATE, e inviare tutte le credenziali della rete (nome utente, password e SSID) ad un server remoto. HTC ha attributo poca importanza alla vulnerabilità, in quanto non ha avuto nessuna segnalazione in merito da parte degli utenti. Un eventuale furto di credenziali però potrebbe essere molto pericolo se gli smartphone elencati vengono utilizzati per accedere alla rete aziendale.
Per sfruttare il bug occorre installare una applicazione progettata ad hoc, ma questa eventualità è tutt’altro che remota, dato che l’Android Market non è famoso per l’assenza di malware. In ogni caso, Google ha provveduto ad una scansione totale dello store, senza trovare nessun software scritto appositamente per rubare le informazioni sulle reti WiFi.
Molti smartphone hanno ricevuto l’aggiornamento in modo automatico. HTC ha comunicato che per alcuni modelli è necessario effettuare un’installazione manuale.
[nggallery id=202 template=inside]