Un ricercatore indipendente si è accorto che Google ha inserito nel suo sistema operativo Android un browser nascosto. E non ci stiamo riferendo a WebView, componente di sistema che può essere utilizzato dagli sviluppatori di applicazioni Android per dotarle delle funzionalità di browsing (anche semplicemente per mostrare il contenuto di una pagina Web). Quello che è stato scoperto tra le “pieghe” del sistema operativo è proprio un browser nascosto che non ha limitazioni per ciò che riguarda la navigazione online.
Dove trovare il browser nascosto su Android
Come spiega l’autore dell’inusuale scoperta, che comunque ha degli equivalenti anche su altri sistemi operativi, per trovare il browser nascosto in Android è possibile seguire una procedura piuttosto cervellotica. Alla fine, però, l’utente ha tra le mani un browser diverso rispetto a quello installato sul dispositivo mobile.
Il browser nascosto è accessibile da un gran numero di applicazioni Android, ad esempio da tutte quelle della suite Google oltre che dalle impostazioni del sistema operativo. Basta toccare sul pulsante Gestisci il tuo Account Google che appare in tante app e seguire una serie di passaggi.
Si deve selezionare la scheda Sicurezza quindi scorrere fino a trovare Le tue password salvate e Gestore delle password quindi toccare sull’icona raffigurante un piccolo ingranaggio in alto a destra.
Scorrendo fino in basso e toccando Configura la crittografia on-device, Android propone la procedura guidata riprodotta nella figura che segue. Qui, selezionando Scopri di più sulla crittografia on-device, appare la guida di Google dal titolo “Iniziare a usare la crittografia on-device“.
Toccando il pulsante in alto a sinistra, quindi selezionando Norme sulla privacy, e infine toccando il pulsante a destra con nove puntini suddivisi in tre file, scegliendo Ricerca si accede al browser nascosto di Google.
Non ci sono né la barra degli indirizzi né altri elementi dell’interfaccia di un browser ma la stragrande maggioranza dei servizi online risultano perfettamente raggiungibili e accessibili.
I pro e i contro del browser nascosto Google
Come mette in evidenza il ricercatore, sapere che esiste un browser nascosto utilizzabile in situazioni di “emergenza” ha i suoi vantaggi.
In primis, si tratta di un browser sprovvisto di cronologia. Tutte le informazioni raccolte sono eliminate alla fine della sessione di lavoro. Inoltre, viene effettuata la disconnessione da tutti gli account eventualmente utilizzati.
Lo svantaggio più evidente, è che il browser Google nascosto non ha un pulsante Indietro. Premendo il tasto Indietro sul telefono, si torna alla pagina di gestione delle password. Inoltre, come osservato in precedenza, non esiste alcuna barra degli indirizzi.
L’altro aspetto degno di nota, è che l’utilizzo del browser nascosto permette agli utenti di superare eventuali misure di parental control impostate sullo smartphone. Sfuggendo così ai controlli e alle restrizioni eventualmente impostate.
Ulteriori indagini hanno messo in evidenza che il browser incorpora una funzione JavaScript non-standard dal nome setVaultSharedKeys
. Questa funzione è verosimilmente utilizzata per gestire la funzionalità di cifratura del dispositivo e impostare correttamente le chiavi crittografiche utilizzate a protezione dei dati.
Il problema è che un utente malintenzionato, ad esempio attraverso una pagina Web appositamente congegnata, potrebbe impostare delle chiavi di cifratura sconosciute all’utente, bloccare il contenuto del suo smartphone per poi richiedere un riscatto in denaro. Un approccio in stile ransomware, insomma. Ovviamente l’attacco sarebbe possibile soltanto se l’utente usasse il browser nascosto di Android e non il componente WebView o altri prodotti (ad esempio Chrome, Edge, Firefox, Opera e così via).
Per questo motivo Google ha fatto sapere al ricercatore che non intende risolvere il problema e che il bypassing del meccanismo di parental control è un “comportamento atteso”.