Con Android 8.1 Oreo Google ha introdotto nuove funzioni nel sistema di stampa, basandosi sul servizio offerto da Mopria Alliance. Secondo un ricercatore di sicurezza indipendente, Matt Parnell, il sistema manca di un meccanismo di validazione che potrebbe portare a situazioni potenzialmente pericolose.

In pratica un eventuale malintenzionato potrebbe creare un falso host con il nome di una stampante e fornire un servizio compatibile al posto di quello reale. Inoltre Android, per impostazione predefinita, preseleziona l’ultima stampante utilizzata, anche se non risulta connessa, lasciando ulteriori possibilità di intercettare le stampe.

Risulta inoltre semplice creare delle stampanti fittizie, con nomi che possono sembrare rassicuranti, per convincere gli utenti più distratti a stampare, ad esempio, su un fantomatico servizio di stampa di un hotel o di un aeroporto. Un eventuale attaccante, con il sistema del man-in-the-middle, può quindi intercettare la stampa, anche senza farlo sapere al diretto interessato.

Il team di sicurezza di Android non ha tuttavia ritenuto opportuno classificare la vulnerabilità come severa e pertanto non è stata inserita tra quelle da correggere con le patch di sicurezza. È comunque stata aperta una segnalazione tra le vulnerabilità che non riguardano la sicurezza per cui in un futuro aggiornamento potrebbe essere corretta anche questo “buco” di Android.