E se gli hacker potessero prendere un'app legittima esistente o aggiornarla con una firma digitale valida, e modificalo per usarlo come un trojan dannoso per accedere a tutto sul tuo telefono Android o tavoletta? Quando i ricercatori di una startup di sicurezza mobile hanno chiamato Rivelata Bluebox Security che avevano identificato proprio una tale vulnerabilità che interessava il "99 percento" dei dispositivi Android, ha fatto notizia sulla tecnologia in tutto il Web. Ma dovresti essere preoccupato?
Qual è il problema?
"Questa vulnerabilità, presente almeno dal rilascio di Android 1.6 (nome in codice: "Donut"), potrebbe interessare qualsiasi telefono Android rilasciato negli ultimi 4 anni", ha spiegato Jeff Forristal, Bluebox CTO, in un post sul blog aziendale. Ha continuato sottolineando che "... un hacker può sfruttare la vulnerabilità per qualsiasi cosa, dal furto di dati alla creazione di una botnet mobile".
Video consigliati
I file APK, o pacchetto di applicazioni Android, sono a rischio perché questo difetto consente agli hacker di alterare un'app o un aggiornamento legittimo, ma conservano la firma digitale che ne verifica la sicurezza. Potrebbero creare un'app falsa per rubare le tue password e utilizzare una firma digitale legittima, in modo che il tuo telefono Android pensi che sia stato creato da un'azienda come Samsung, HTC o persino Google stesso. Poiché i produttori di dispositivi e i partner di fiducia producono app con accesso privilegiato al tuo sistema Android, il rischio che qualcosa di dannoso si faccia strada sul tuo telefono è molto serio.
Imparentato
- 5 cose che ci piacerebbe vedere al Google I/O 2023 (ma probabilmente non lo faremo)
- Rilassati, la spaventosa regola USB-C dell'UE non ti priverà dei vantaggi della ricarica rapida
- Le migliori app di blocco degli annunci per Android nel 2022
Cosa si sta facendo a riguardo?
Bluebox ha rivelato a Google il bug di sicurezza Android 8219321 nel febbraio 2013. Google ha già aggiornato il Play Store in modo che siano presenti controlli per bloccare eventuali app dannose che utilizzano questo exploit. Google ha condiviso il bug con i suoi partner hardware nell'Open Handset Alliance e alcuni produttori hanno già rilasciato patch per risolvere questo problema di sicurezza.
Come posso evitare il malware?
Se fai attenzione a non lasciare mai il telefono incustodito e installi solo app e aggiornamenti da Google Play quindi non c'è motivo di preoccupazione reale perché non sei realmente a rischio per questo impresa. Se vuoi assicurarti di non essere influenzato, entra Impostazioni > Sicurezza e assicurati che la casella Consenti installazione da "fonti sconosciute" sia deselezionata.
Abbiamo discusso del Nozioni di base sulla sicurezza delle app Android prima e si applicano ancora. I criminali ora non sono in grado di utilizzare il Google Play Store per far circolare malware utilizzando questo exploit, quindi ora è sicuro scaricare app lì. Quello che dovresti evitare è installare app o aggiornamenti da altre fonti, anche dagli app store Samsung o Amazon, almeno per ora. Gli app store Android di terze parti e i collegamenti diretti sui siti Web sono i metodi di consegna più probabili, ma il malware potrebbe arrivare via e-mail o persino trasferirsi sul tuo dispositivo tramite un cavo USB (se colleghi il tuo telefono al tuo computer).
“Il problema principale per la diffusione di malware su Android è convincere l'utente a scaricare e installare qualcosa da fonti non sicure (alcuni mercati di terze parti o direttamente dal web)," Maik Morgenstern, dell'istituto di sicurezza indipendente, AV-Test, ci ha spiegato. “La vulnerabilità segnalata non ‘aiuta’ in alcun modo gli autori di malware. Avrebbero comunque difficoltà a ottenere le loro creazioni nel Google Play Store e, anche se ci riuscissero, le loro app non sarebbero elencate nell'account dell'autore originale, ovviamente. [Ad esempio,] se creano una versione trojanizzata di Angry Birds, verrebbe elencato sotto il nome degli autori del malware e non sotto Rovio. Quindi gli utenti difficilmente si imbatterebbero in queste app trojan. Se gli utenti scaricano app solo dal Google Play Store, dovrebbero essere al sicuro".
Quindi posso rilassarmi?
Il problema con Android è che Google può agire per correggere difetti e exploit di hacking, ma non può implementare un aggiornamento a livello di sistema.
"Il problema principale è la politica di aggiornamento di molti produttori", ci ha detto Morgenstern. "I vecchi dispositivi non ricevono più aggiornamenti (quindi questi dispositivi rimarranno vulnerabili) e anche gli aggiornamenti per i nuovi dispositivi possono richiedere mesi."
Spetta ai singoli produttori e operatori di telefonia mobile (AT&T, Verizon, T-Mobile, Sprint, ecc.) inviare gli aggiornamenti ai dispositivi. È comune che i dispositivi Android meno recenti vengano lasciati indietro. Se hai un vecchio dispositivo a rischio e non sei felice di restare su Google Play, potresti essere esposto per un po' di tempo a venire.
Aggiornamento 7-9-2013: Consigli da Bluebox
Dopo la pubblicazione di questo articolo, Bluebox ci ha contattato. Stanno esortando gli utenti che il modo migliore per ridurre il rischio di questa vulnerabilità è "Verificare con il produttore del dispositivo o il gestore di telefonia mobile il modello specifico del dispositivo Android e la versione del sistema operativo per vedere se è stato reso disponibile un recente aggiornamento/correzione." Sottolineano inoltre che potrebbe essere necessario controllare le note di rilascio per confermare che una correzione è inclusa nel file aggiornamento. Se non riesci a trovarne uno per il tuo dispositivo, ti suggeriscono di evitare di installare qualsiasi cosa al di fuori di Google Play per il momento.
Il CTO di Bluebox, Jeff Forristal, ha in programma di rilasciare i dettagli tecnici del problema durante il suo discorso a Cappello nero USA 2013 alla fine del mese. Resta da vedere come reagiranno i principali fornitori di dispositivi Android. Ti terremo aggiornato.
Articolo originariamente pubblicato il 7-8-2013.
Raccomandazioni della redazione
- Non perdere l'occasione di ottenere questo tablet Android Lenovo per $ 120
- Non crederai quanto sia economico questo iPad, grazie al Cyber Monday
- Google vuole che tu sappia che le app Android non sono più solo per i telefoni
- La cosa migliore di Android 13 non è una nuova funzionalità o impostazione: è qualcos'altro
- La ricarica wireless non funziona sul tuo Pixel con Android 13? Non sei solo
Aggiorna il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, recensioni di prodotti divertenti, editoriali approfonditi e anticipazioni uniche.
