I ricercatori di Promon, società norvegese che si occupa di sicurezza, hanno scoperto una vulnerabilità insita nel multitasking di Android che nessun aggiornamento ha mai sistemato: questo significa che ogni singolo dispositivo Android la possiede, compresi quelli aggiornati ad Android 10. Alla vulnerabilità è stato dato un nome, StrandHogg, e Promon ha anche deciso di pubblicare il seguente video educativo che spiega com’è possibile sfruttarla.
StrandHogg può essere sfruttata per imporre agli utenti degli overlay falsi, malevoli: richieste di permessi, finte schermate di login, etc… Naturalmente col fine di carpire password ed altre informazioni confidenziali. In questo modo le applicazioni malevoli che sfruttano StrandHogg possono ottenere l’accesso alle nostre foto, ai nostri account social e persino a quelli bancari: il rischio è enorme, su tutti i fronti. Promon ha scoperto che queste applicazioni sono arrivate a prendere come bersaglio ben 60 istituzioni bancarie differenti, ma la parte peggiore è che la maggior parte delle prime 500 applicazioni presenti sul Google Play Store sono vulnerabili ed accessibili tramite StrandHogg e 36 app che la utilizzano sono già state identificate, compresa una variante del famoso BankBot trojan del 2017.
Secondo l’azienda una vulnerabilità del genere non è stato un errore fatto in buona fede, ma una semplice conseguenza dell’avere sistemi operativi sempre più complessi: le milioni di interazioni fra le applicazioni e le varie parti del sistema hanno semplicemente seppellito la vulnerabilità. Gli hacker però se ne sono accorti e infatti il product marketing manager di Promon afferma che sicuramente la stanno sfruttando da parecchio tempo per compiere frodi di ogni genere. Google nel frattempo, contattata dall’azienda norvegese, ha proceduto a bloccare le applicazioni malevoli già identificate, ma non sarà semplice bloccare i danni che una vulnerabilità insita in tutte le versioni di Android può causare.
La morale è sempre la stessa: fate attenzione a cosa scaricate ed informatevi bene prima di effettuare qualunque azione che possa mettere a nudo i vostri dati personali.