La vulnerabilità sarebbe già a conoscenza dei tecnici di Google. Il ricercatore M.J. Keith ha comunque dichiarato che svelerà alcuni dettagli tecnici circa la lacuna sfruttata per sferrare un attacco nei confronti del sistema operativo Android nel corso della prossima “HouSecCon” che si terrà a Houston.
“Ci è nota la presenza di una vulnerabilità che interessa le vecchie versioni del browser integrato in Android“, ha commentato Jay Nancarrow, portavoce di Google. “La problematica non interessa gli utenti di Android 2.2 e versioni successive“.
Keith ha spiegato come la falla risieda nelle versioni più “datate” del motore di rendering WebKit: visitando con il browser web una pagina web appositamente allestita da parte di un aggressore, questi potrebbe riuscire ad eseguire codice potenzialmente dannoso.
Secondo i dati resi noti dal colosso di Mountain View, il 36,2% dei telefoni Android utilizzerebbe la versione 2.2 del sistema operativo. I dispositivi più “vecchi” quali il G1 e l’HTC Droid Eris, che potrebbe non ricevere mai un aggiornamento, potrebbero risultare esposti all’attacco portato alla pubblica attenzione da Keith.
Il codice exploit messo a punto dal ricercatore, analista presso la società Alert Logic, non fornisce all’aggressore pieno accesso (modalità “root“) all’aggressore ma consente di accedere a tutte le informazioni leggibili da parte del browser web. La falla presa di mira da Keith era stata già discussa pubblicamente ma il ricercatore ha spostato oggi l’attacco sulla piattaforma Android.
WebKit è il motore di rendering opensource utilizzato oggi sia da Apple Safari che da Google Chrome oltre che da altri prodotti.
I sistemi operativi destinati al mondo “mobile” diveranno sempre più oggetto di attacchi da parte di malintenzionati. Per questo, come ricordato da numerosi analisti, è bene non abbassare la guardia per non doversi trovare, a breve, a doversi misurare con nuove pericolose minacce.