Android soffrirebbe di una falla di sicurezza presente nel 99% dei dispositivi in circolazione. A sostenerlo sono gli esperti di Bluebox, una società attiva nel settore delle soluzioni per la sicurezza in ambito “mobile”, che parlano di un bug irrisolto dall’alto “potenziale distruttivo”.
Sfruttando la lacuna presente in tutte le versioni di Android, dalla vecchissima 1.6 sino alle release più recenti, un aggressore può essere in grado di eseguire codice dannoso aggiungendo le istruzioni malevole all’interno del file APK di una qualunque applicazione. L’intervento è applicabile senza alterare la firma crittografica che accompagna il pacchetto APK: in questo modo, un’app Android legittima può subito diventare un trojan o comunque attivare funzionalità proprie di un malware.
Da Bluebox si afferma che le implicazioni sono notevoli: il malintenzionato può infatti utilizzare il bug per sottrarre dati personali od inserire il dispositivo Android in una botnet.
I responsabili della società di San Francisco affermano di aver contattato Google già a febbraio offrendo alla società tutti i dettagli tecnici sulla vulnerabilità. Secondo Bluebox sarà però compito dei singoli produttori hardware di aggiornare e distribuire versioni di Android esenti dal bug in questione.
Samsung ha già provveduto a risolvere la falla nel caso del suo smartphone Galaxy S4: si tratta però di un’eccezione perché la stragrande maggioranza dei device risulta sempre vulnerabile (gli stessi Nexus di Google sarebbero a tutt’oggi interessati dal problema).
Il consiglio, ovviamente, è quello d’installare sempre le applicazioni Android da fonti ufficiali (Google Play) e di caricare gli aggiornamenti del sistema operativo non appena resi disponibili.