Secondo la società di sicurezza Bluebox, un bug nel sistema di sviluppo di app per Android permetterebbe di convertirle quasi tutte in trojan. Ecco come
Certo il numero non fa certo ben sperare i possessori di Android. Secondo la Bluebox, società che opera nel campo della sicurezza informatica, i maleintenzionati potrebbero trasformare il 99% delle app per Android in trojan. Ad affermarlo è Jeff Forristal, CTO dell’azienda che ha pubblicato un post sul blog aziendale per spiegare come funziona la vulnerabilità, presente da quattro anni nell’ambiente di sviluppo.
Quattro anni di bug
“Questa vulnerabilità – spiega – arriva almeno dal rilascio di Android 1.6 e potrebbe colpire qualsiasi device rilasciato negli ultimi quattro anni tra i quasi 900 milioni di dispositivi in commercio”. La questione ruota attorno al sistema che viene utilizzato per verificare e installare le applicazioni Android. Ognuna ha una specifica firma crittografica che serve ad assicurare che il suo contenuto sia legittimo e non manomesso. La vulnerabilità presente permetterebbe invece a un aggressore di modificare il contenuto del programma lasciando la firma intatta.
Google sapeva?
Le affermazioni di Forristal erano già state comunicate a Google nel febbraio di quest’anno e avevano ricevuto l’identificatore di bug di sicurezza di Android numero 8.219.321. Google ha rifiutato di commentare se era a conoscenza della presunta vulnerabilità o se avrebbe contattato direttamente Bluebox per i dettagli. Nel caso la procedura malevola venisse confermata, una semplice app potrebbe essere installata correttamente sul dispositivo e potrebbe, se modificata da un terzo prima dell’installazione, accedere ai dati personali presenti sul dispositivo rubando le password degli account, effettuando chiamate e inviando messaggi di testo. A questo punto – secondo Forristal – la riparazione del problema è di responsabilità dei produttori di dispositivi come HTC e Samsung, dato che sono loro a rilasciare aggiornamenti del firmware.
