Qualche giorno fa ha destato scalpore la scoperta di un bug di sicurezza nell’implementazione dello stack TCP all’interno del kernel Linux. Le varie distribuzioni “del pinguino” sono già corse ai ripari mentre l’attenzione adesso si sposta su Android.
L’80% dei dispositivi Android, a partire dalla versione 4.4 KitKat fino alla release 7.0 Nougat (quest’ultima non ancora distribuita in via ufficiale) soffre infatti della stessa vulnerabilità. Il problema è stato verificato dai tecnici di Lookout (questa l’analisi da poco apparsa online) anche se era del tutto ipotizzabile che la stessa lacuna fosse presente anche in Android (il robottino verde poggia proprio sul kernel Linux).
Il problema è piuttosto grave perché può consentire a un malintenzionato di monitorare i dati scambiati in Rete usando qualunque dispositivo Android, modificarli in transito e bloccare o comunque rendere molto più difficoltoso l’invio e la ricezione di dati crittografati.
La vulnerabilità viene comunque, per il momento, valutata di media entità perché sfruttarla non è immediato e richiedere almeno un minuto di tempo. Cosa che rende più complessa l’effettuazione di attacchi su vasta scala.
Un attacco singolo è sempre possibile anche se ad oggi poco probabile (non si conosce l’esistenza di codice proof-of-concept in circolazione).
Fintanto che Google non avrà rilasciato una patch correttiva (la società promette di farlo a strettissimo giro; il problema, come sempre, è la distribuzione dello stesso aggiornamento da parte dei produttori di smartphone e tablet…), il consiglio è quello di prediligere sempre connessioni cifrate con i server remoti.
Usare HTTPS durante la navigazione sul web e TLS per la posta elettronica è comunque sempre più un imperativo, vulnerabilità a parte. Altamente consigliabile anche l’uso di VPN, soprattutto quando ci si collega a reti altrui, potenzialmente insicure:
– Certificati digitali cosa sono e come rimuovere quelli fasulli
– Connessione VPN, come usarla in sicurezza
– Email: SSL, TLS e STARTTLS. Differenze e perché usarli