Grave security-bug di android nell’utilizzo del browser integrato

13 febbraio 20098 commenti
Tempo addietro, non appena Android uscì nel mercato USA e UK, venne scoperta una falla, che ad ascoltare la disinformazione dilagante del tempo, sembrava fosse gravissima: tale falla permetteva di eseguire comandi root utilizzando la ricerca del Market, ( comandi tipo "reboot" etc. ). La vulnerabilità con cui abbiamo a che fare oggi è decisamente più pericolosa ed incisiva per privacy dell'utente. L'exploit consiste nell'inserimento di codice malevolo in una pagina web che venendo successivamente caricata con chrome lite, ha poi controllo del browser, nonchè aver diritti di lettura/scrittura/esecuzione pari a quelli del browser stesso.



Il bug è contenuto nel codice scritto dalla azienda PacketVideo che contribuì scrivendo una versione open-source del loro kernel application framwork per android, che diventò successivamente il sottosistema multimediale del browser Chrome-Lite.

Questa vulnerabilità è nota da tempo, infatti già il 21 Gennaio Charlie Miller avvisò Google di tale bug, e qualche giorno dopo su Forbes Google avvisò che la patch sarebbe stata inclusa il prima possibile.

Purtroppo con l’uscita della RC33 non si è visto nulla, anche se nel repository è presente la patch già dal 7 Febbraio.

Miller sconsiglia vivamente di utilizzare il Browser di Android almeno fino quando una patch verrà rilasciata, e se questo non sarà possibile, di visitare solo siti fidati e di evitare di connettersi via Wi-Fi.

A questa affermazione ero scettico, e dopo una prima lettura mi sembrava una versione catastrofista e di parte, in quanto era lui stesso ad aver trovato il bug e come si suol dire, sembrava tirasse acqua al proprio mulino. Poi lessi l’opinione di James Blaisdell, CTO di Mocana, azienda che lavora nelle soluzioni di sicurezza per sistemi embedded, incluso Android. Blaisdell concorda con Miller e sostiene che l’utente non debba assolutamente usare il browser di android finchè Google non ne rilasci una patch.

Dopo queste brutte notizie, continuerò comunque ad utilizzare Android alla vecchia maniera, ovviamente aspettando il prima possibile una versione ufficiale o non, con tale bugfix.

UPDATE 13-02-2009: il 12 Febbraio Miller ha rilasciato una dichiarazione dove rivede la pericolosità del bug non più riguardante il browser ma solamente il framework multimediale abbassando di molto la pericolosità della falla in questione.

Alla prossima!

Fonti: RWW e Androidiani Forum

  • Anarchj

    Beh, c’è sempre Steel

  • Anarchj

    Beh, c’è sempre Steel

  • http://www.androidiani.com/ Sebastiano

    me lo dicevo pure io…
    Ma è il software sotto le applicazioni ad essere buggato, non chrome lite stesso…

    Quindi boh..

  • http://www.androidiani.com Sebastiano

    me lo dicevo pure io…
    Ma è il software sotto le applicazioni ad essere buggato, non chrome lite stesso…

    Quindi boh..

  • Pingback: Androidiani: Grave security-bug di android nell’utilizzo del …()

  • Anarchj

    Webkit? Oppure proprio Android?
    Ne approfitto per segnalare che steel si sta evolvendo benissimo, lo seguo per curiosità. Penso che ormai sia il miglior browser in circolazione…Certo manca il supporto flash!

  • Anarchj

    Webkit? Oppure proprio Android?
    Ne approfitto per segnalare che steel si sta evolvendo benissimo, lo seguo per curiosità. Penso che ormai sia il miglior browser in circolazione…Certo manca il supporto flash!

  • cristian

    raga io ho un problema piu tosto grave! il cell e bloccato e mi chiede il email acount ma non me lo acetta come devo procedere?mi hanno chiesto 50euro x un softwer nuovo ma mi sembra essagerato