In passato abbiamo già avuto modo di parlare del bug denominato FREAK e oggi ci vediamo costretti a tornare sull’argomento per riferirvi i dati diffusi dai ricercatori di FireEye.
Questi ultimi hanno preso in esame un certo numero di applicazioni Android (11.000 applicazioni tra quelle che vantano un numero di download superiore al milione) ed hanno scoperto che, tra queste, 1228 sono tutt’ora vulnerabili al bug FREAK.
Tra queste 664 utilizzano le librerie OpenSSL native di Android mentre 564 sfruttano librerie OpenSSL proprie. Tutte e 1228, come già detto, non includono alcuna patch per far fronte al bug.
Su iOS la situazione è molto diversa. Apple durante la scorsa settimana ha rilasciato un fix (contenuto nella release 8.0.2) e il numero di programmi vulnerabili è stato ridotto considerevolmente: delle 770 app scovate da FireEye solo 7 continuano ad essere a rischio con iOS 8.0.2.
FREAK è una falla di sicurezza che affligge sia i sistemi operativi sia le applicazioni: come abbiamo appena visto, infatti, le app possono sfruttare librerie differenti da quelle native dell’OS.
Il browser Chrome per Android, a differenza del browser stock, include una patch che lo rende inattaccabile. Lo stesso non può dirsi del sistema Android nella sua interezza.
Google alcune settimane fa affermò di aver sviluppato un fix e di averlo passato ai partner. I vari produttori e carrier, tuttavia, impiegheranno molto tempo prima di inviarlo ai dispositivi. Come se non bastasse sembra che Big G non abbia incluso una patch per FREAK all’interno di Android 5.1 Lollipop (non siamo sicuri al 100% di questo fatto, tuttavia in rete non abbiamo trovato informazioni in merito al rilascio di un fix da parte di Google).