I ricercatori di Bluebox Lab affermano di aver trovato un bug che
risale ai tempi di Android 1.6 Donut, e che consentirebbe
l’installazione di applicazioni malevole, perfettamente mascherate da “sane”.
Come? I pacchetti Android, come probabilmente saprete, devono essere verificati
con una firma crittografica, che ne assicura l’integrità in
modo da consentire così l’eventuale aggiornamento di un pacchetto già
esistente. Ebbene, Bluebox afferma di aver trovato un modo per modificare
i pacchetti, senza alterarne la firma: avremo pertanto un apk dannoso,
mascherato come uno regolare, con tutti i problemi che questo comporta.
Prima di gridare allo scandalo, chiariamo che il Play Store non
può essere sfruttato in tal senso, quindi se, come sempre, avete installato
solo software di provenienza sicura, potete continuare a dormire sonni
tranquilli. Vero è che se reperite pacchetti a giro per la rete i rischi ci
sono sempre, anche se in teoria nessun apk di terze parti, se modificato,
dovrebbe essere in grado di sostituirsi all’app ufficiale, mentre invece pare
sia possibile.
Il bug è stato riportato a Google nel febbraio 2013, ed
essendo correlato anche al dispositivo in questione, è compito del singolo
produttore rilasciare specifiche patch. Il colmo di questa vicenda? Il
Galaxy S4 è già stato sistemato, mentre i Nexus sono ancora in attesa.
Nessun commento:
Posta un commento