Secondo alcuni ricercatori, gli utenti che utilizzano il browser di default di Android sulle più vecchie versioni del sistema operativo sarebbero oggi a rischio. Oltre il 70% dei possessori di smartphone e tablet Android potrebbe vedere eseguito, a sua insaputa, codice nocivo al momento della visita di una pagina web confezionata “ad arte” da un aggressore.
Il problema di sicurezza è stato confermato dai tecnici di Rapid7, società specializzata nella sicurezza informatica, che hanno provveduto ad aggiungere – nello strumento di penetration testing Metasploit – il codice exploit capace di sfruttare la vulnerabilità rilevata nel codice di Android.
La lacuna di sicurezza affonda le sue radici, ancora una volta, nell’annoso problema legato all’eccessiva frammentazione di Android (vedere l’articolo Google: ultima versione di Android sui nuovi smartphone): molte versioni del sistema operativo in circolazione significano separate procedure di aggiornamento. Molto spesso, inoltre, accade che i produttori degli smartphone e tablet Android (soprattutto dei prodotti più economici) non mettano neppure a disposizione patch ed aggiornamenti per il sistema operativo.
La falla di sicurezza divenuta oggi di “pubblico dominio” è stata scoperta ben 14 mesi fa e risolta da Google con il rilascio di Android 4.2 (API 17). Per questo motivo, stando alle statistiche periodicamente aggiornate dal colosso di Mountain View (vedere questa pagina) si calcola che oltre il 70% dei dispositivi mobili Android possa essere a rischio.
La lacuna risiederebbe nella gestione del codice JavaScript ed in particolare nella funzione addJavascriptInterface()
che nella versione 4.1.x di Android e precedenti sarebbe implementata in modo imperfetto.
Per sfruttare la vulnerabilità non aggressore non deve far altro che richiamare la classe WebView ed utilizzare codice in grado di far leva sulla funzione JavaScript mal sviluppata.
Alcuni ricercatori, come mostrato in questo video, sono riusciti addirittura ad avviare una shell dei comandi remota sullo smartphone Android aggredito. In questo modo, sono riusciti a compiere sul telefono remoto qualunque operazione che il browser sia in grado di porre in essere (accesso al file system ed alla fotocamera, ad esempio).
In alcuni casi, l’aggressione nei confronti dell’utente Android potrebbe essere sferrata nel momento in cui questi si trovasse ad adoperare una connessioni Wi-Fi pubblica, non sicura. Il malintenzionato potrà poi provare a lanciare un attacco man-in-the-middle.
In un articolo pubblicato di recente su blog di Rapid7, l’amministratore del progetto Metasploit si dice certo che la diffusione dell’exploit indurrà finalmente i vendor di dispositivi a cuore Android a rilasciare aggiornamenti di sicurezza per tutti i propri device.
Per il momento, ci sentiamo di suggerire ai possessori di dispositivi equipaggiati con una versione più datata di Android (4.1.x o precedenti) di evitare l’uso di reti Wi-Fi pubbliche e di astenersi dal visitare pagine web potenzialmente insicure. Sicuramente da mettere da parte l’uso del browser di default di Android anche se tutti i prodotti alternativi (o le applicazioni di altro genere) che utilizzano la classe WebView sono generalmente interessati dal medesimo problema.