Una falla nel sandboxing delle applicazioni mina la sicurezza di Android

android_malware

I ricercatori dell’Università della California Riverside e dell’Università del Michigan hanno scoperto una falla nella sicurezza di Android che può essere utilizzata per modificare le applicazioni e rubare le credenziali degli utenti. Android non solo: iOS e Windows Phone potrebbero soffrire dello stesso problema.

La falla risiede in una componente chiave del sistema: il window manager. Si tratta di quella parte del sistema operativo che – in breve – si occupa di creare gli elementi grafici che visualizziamo sullo schermo. Il window manager è unico e condiviso tra tutte le applicazioni in esecuzione, che sono invece normalmente isolate l’una dall’altra tramite una cosiddetta sandbox (letteralmente “buca della sabbia”: è una tecnica che consente di isolare le applicazioni all’interno di un sistema a memoria condivisa).

Per utilizzare questa falla a scopi malefici bisogna installare sul dispositivo un’applicazione che deve poi essere eseguita in background dal sistema. Una volta in esecuzione (e nascosta all’utente), l’applicazione dovrebbe controllare quali elementi sono disegnati sullo schermo e, al momento opportuno, inserire elementi dell’interfaccia come schermate di login da cui rubare le credenziali degli utenti.

Si tratta di un attacco di tipo “man-in-the-middle”, ovvero un attacco in cui viene inserito un elemento che sembra reale tra l’utente e il contenuto che dovrebbe essere visualizzato: in questo modo l’utente è portato a inserire informazioni più o meno sensibili convinto di inserirle correttamente.

Le applicazioni provate dai ricercatori sono tra le più comunemente usate nel mercato statunitense: Gmail, Amazon, Chase e Newegg sono vulnerabili, con Gmail vulnerabile il 92% delle volte in cui sono state effettuate delle prove.

C’è bisogno di allarmarsi? No, fintantoché si fa attenzione a quello che si installa e si installano solo applicazioni provenienti da fonti certe come il Play Store.

Via

Commenti

Ti invitiamo ad usare toni consoni e di rimanere in tema all'argomento trattato, in caso contrario, il sistema automatico potrebbe oscurare il tuo messaggio e potrebbero trascorrere fino a 48h per la verifica ed un'eventuale autorizzazione.
TuttoAndroid si riserva comunque il diritto di allontanare le persone non adatte a tenere un comportamento corretto e rispettoso verso gli altri.

  • Alessandro

    Potrei sembrare “stupido”, ma quanto mi affascina il mondo dell’informatica. Che spettacolo..xD!!

    • Daniel

      Allora siamo in due XD

Top