Il bug è contenuto nel codice scritto dalla azienda PacketVideo che contribuì scrivendo una versione open-source del loro kernel application framwork per android, che diventò successivamente il sottosistema multimediale del browser Chrome-Lite.
Questa vulnerabilità è nota da tempo, infatti già il 21 Gennaio Charlie Miller avvisò Google di tale bug, e qualche giorno dopo su Forbes Google avvisò che la patch sarebbe stata inclusa il prima possibile.
Purtroppo con l’uscita della RC33 non si è visto nulla, anche se nel repository è presente la patch già dal 7 Febbraio.
Miller sconsiglia vivamente di utilizzare il Browser di Android almeno fino quando una patch verrà rilasciata, e se questo non sarà possibile, di visitare solo siti fidati e di evitare di connettersi via Wi-Fi.
A questa affermazione ero scettico, e dopo una prima lettura mi sembrava una versione catastrofista e di parte, in quanto era lui stesso ad aver trovato il bug e come si suol dire, sembrava tirasse acqua al proprio mulino. Poi lessi l’opinione di James Blaisdell, CTO di Mocana, azienda che lavora nelle soluzioni di sicurezza per sistemi embedded, incluso Android. Blaisdell concorda con Miller e sostiene che l’utente non debba assolutamente usare il browser di android finchè Google non ne rilasci una patch.
Dopo queste brutte notizie, continuerò comunque ad utilizzare Android alla vecchia maniera, ovviamente aspettando il prima possibile una versione ufficiale o non, con tale bugfix.
UPDATE 13-02-2009: il 12 Febbraio Miller ha rilasciato una dichiarazione dove rivede la pericolosità del bug non più riguardante il browser ma solamente il framework multimediale abbassando di molto la pericolosità della falla in questione.
Alla prossima!
Fonti: RWW e Androidiani Forum