Uno degli sviluppatori che curano il noto progetto Metasploit, framework che semplifica le operazioni di penetration testing aiutando a verificare quanto un sistema sia vulnerabile ad intrusioni ed attacchi esterni, ha recentemente scoperto una grave vulnerabilità nel browser installato in maniera predefinita su Android.
Secondo Rafay Baloch, questo il nome del ricercatore, un importante bug nel browser Android colpisce il 70% dei dispositivi rendendoli di fatto esposti ad aggressioni. Stando a quanto riferito, la lacuna sarebbe presente nel browser di default di Android 4.2.1 e versioni precedenti del sistema operativo.
Nel momento in cui l’utente, utilizzando il browser predefinito di Android, dovesse visitare una pagina web malevola contenente codice JavaScript “ad hoc” (vedere questa scheda), un aggressore potrebbe riuscire ad attingere alle informazioni visualizzate nelle varie schede aperte.
Si supponga di aver aperta una webmail all’interno del browser proposto di default in Android: il malintenzionato potrebbe riuscire a sottrarre ed a leggere il contenuto delle e-mail visualizzate.
Con il browser predefinito, insomma, verrebbe a decadere l’importante concetto di Same Origin Policy (SOP): gli script caricati in una stessa pagina web sono autorizzati ad accedere ai metodi ed alle proprietà reciproche; è invece impedito loro di interagire con script ed elementi visualizzate in altre schede di navigazione o che comunque sono parte delle pagine web di altri siti. La rigorosa separazione tra i contenuti che provengono da siti non correlati tra loro deve essere garantita lato client per prevenire la perdita dell’integrità e riservatezza dei dati.
Sui dispositivi Android che utilizzano versioni del sistema operativo inferiori alla 4.3 (non affetta dal problema come le release successive), il consiglio è quello di utilizzare un browser diverso da quello installato di default. Dal momento che esso è parte del sistema operativo, non può essere disinstallato: il suggerimento, quindi, consiste nell’accedere alle impostazioni di Android, selezionare Gestione applicazioni, portarsi nella scheda Tutte, toccare Browser quindi il pulsante Disattiva.
Sebbene Google stia già lavorando ad una soluzione per il problema, la falla presente non potrà essere immediatamente corretta in quanto la stragrande maggioranza dei produttori di dispositivi mobili utilizza versioni personalizzate del sistema operativo, fatte derivare dalla AOSP di Android (vedere Installare ROM Android e aggiornare all’ultima versione).
In questi casi, è altamente probabile che gli utenti – soprattutto i possessori di dispositivi oramai piuttosto datati o di fascia medio-bassa – non ricevano mai alcun aggiornamento di sicurezza.