Il nostro amato robottino verde non è nuovo a problemi di sicurezza. A quanto parte, ne è stato scoperto un altro: viene chiamato “Fake ID”, ed è riscontrabile in tutte le versioni del sistema operativo dopo la 2.1.

La vulnerabilità sta nel fatto che permette ad applicazioni che ne avessero intenzione, di aggirare la sicurezza di Android falsificando il loro ID, dandogli la possibilità di accedere a dati sensibili quali credenziali utente, email, cronologia e dati di pagamento.

Tutto questo perché Android non riesce a verificare la validità della firma crittografica di un app, cioè quella cosa che il sistema usa per decidere quali privilegi assegnare. Il nuovo Android Kitkat sembrerebbe aver migliorato leggermente la situazione, ma non risolto il problema.

Appena appresa la notizia, Google ha preso in mano la questione, ringraziando i ragazzi di Bluebox che l’avevano segnalata: a detta di Google, la ricerca di terze parti è uno dei modi che rende Android più forte. A quanto detto da Google, non vi sono stati incidenti dovuti a questa vulnerabilità.

La buona notizia è che una patch è gia stata rilasciata, ed è stata distribuita ai partner Android e all’AOSP.

Google in più sta controllando tutte le app affidate a Google Play, senza riscontrarne alcune che sembrasse voler sfruttare questa vulnerabilità del sistema. Invitiamo comunque a far attenzione nell’installare app che non provengano dal Google Play Store.

Via