Android vulnerabile ai “Fake ID”, pronta una patch

mclovin fake id

Il nostro amato robottino verde non è nuovo a problemi di sicurezza. A quanto parte, ne è stato scoperto un altro: viene chiamato “Fake ID”, ed è riscontrabile in tutte le versioni del sistema operativo dopo la 2.1.

La vulnerabilità sta nel fatto che permette ad applicazioni che ne avessero intenzione, di aggirare la sicurezza di Android falsificando il loro ID, dandogli la possibilità di accedere a dati sensibili quali credenziali utente, email, cronologia e dati di pagamento.

Tutto questo perché Android non riesce a verificare la validità della firma crittografica di un app, cioè quella cosa che il sistema usa per decidere quali privilegi assegnare. Il nuovo Android Kitkat sembrerebbe aver migliorato leggermente la situazione, ma non risolto il problema.

Appena appresa la notizia, Google ha preso in mano la questione, ringraziando i ragazzi di Bluebox che l’avevano segnalata: a detta di Google, la ricerca di terze parti è uno dei modi che rende Android più forte. A quanto detto da Google, non vi sono stati incidenti dovuti a questa vulnerabilità.

La buona notizia è che una patch è gia stata rilasciata, ed è stata distribuita ai partner Android e all’AOSP.

Google in più sta controllando tutte le app affidate a Google Play, senza riscontrarne alcune che sembrasse voler sfruttare questa vulnerabilità del sistema. Invitiamo comunque a far attenzione nell’installare app che non provengano dal Google Play Store.

Via 

Commenti

Ti invitiamo ad usare toni consoni e di rimanere in tema all'argomento trattato, in caso contrario, il sistema automatico potrebbe oscurare il tuo messaggio e potrebbero trascorrere fino a 48h per la verifica ed un'eventuale autorizzazione.
TuttoAndroid si riserva comunque il diritto di allontanare le persone non adatte a tenere un comportamento corretto e rispettoso verso gli altri.

  • Critica

    Qualche fonte? Bah.
    Facile scrivere un articolo così. Per favore, aggiungete le fonti: Chi ha annunciato il problema, perchè Android non riuscirebbe a verificare la validità delle app, come si fa a dire che non ci sono stati “incidenti”, dove starebbe la patch in AOSP (link a sorgente/commit?), perchè sconsigliare app da sorgenti esterne (F-Droid sarebbe “pericoloso”? Non scherziamo).

    Insomma, precisazioni, più serietà e fonti.

  • sfdgsdgf

    ancora una volta a sparare a caso su android…

  • simoscorpion

    mclovin !!!! un mito

Top