Thomas Cannon, ricercatore esperto di temi legati alla sicurezza informatica, ha dichiarato pubblicamente di aver scoperto una brutta vulnerabilità in Google Android. Ad essere afflitte dal problema sarebbero tutte le versioni del sistema operativo per dispositivi mobili, compresa la più recente release 2.2 “Froyo“. Secondo Cannon la lacuna di sicurezza risiederebbe nel browser e permetterebbe ad un aggressore remoto di leggere il contenuto dei file memorizzati sul dispositivo Android semplicemente invitando l’utente-vittima a visitare una pagina web nociva, allestita allo scopo.
Dal momento che il browser opera all’interno di una “sandbox” (ved., in proposito, questi nostri articoli), un malintenzionato che riuscisse a porre a buon fine un attacco riuscirebbe a sottrarre il contenuto dei file contenenti i dati dell’utente ma non consentirebbe l’accesso alle cartelle di sistema.
L’aggressore, inoltre, dovrebbe comunque conoscere l’esatto percorso del file da leggere. Uno dei possibili bersagli potrebbero essere le foto memorizzate sul dispositivo mobile: esse infatti vengono salvate utilizzando numeri sequenziali.
Secondo quanto riferito, Google avrebbe già verificato l’esistenza della vulnerabilità (che, con buona probabilità, sarà ormai presente anche in Android 2.3 “Gingerbread“, la cui uscita è imminente) e Cannon, dopo la risposta ricevuta dai tecnici di Mountain View, avrebbe rimosso i dettagli relativi all’exploit dalla sua pagina web.
La vulnerabilità di sicurezza sarà presumibilmente risolta mediante il rilascio di un aggiornamento per Android.