E’ stato scoperta in Google Android la prima falla che potrebbe rendere i telefoni venduti vulnerabili agli attacchi di malintenzionati.

Lo scopritore della falla, Charlie Miller, ha immediatamente contattato Google e sta collaborando attivamente con loro per portare al più presto una patch che risolva il problema.

Google non avendo il tempo di preparare un update prima della commercializzazione dei telefoni G1, per tappare la falla, avrebbe chiesto a Miller di non rivelare alcuna notizia al riguardo. Miller, dal canto suo, ha preferito pubblicare la notizia della presenza della falla per mettere in guardia gli utenti, ma non ha reso noto alcun dettaglio sul relativo exploit, rimandandone la pubblicazione a dopo che Google avrà distribuito l’aggiornamento.

La vulnerabilità è localizzata all’interno del browser web, da sempre e non solo sui telefonini uno dei punti più esposti e per questo più critici per il problema sicurezza. Grazie all’exploit sviluppato, Miller è riuscito con successo a indirizzare il browser del G1 verso un sito malevolo da cui è stato possibile installare un software malevolo senza l’intervento dell’utente. Google tiene a sottolineare che Android fa girare ognuna delle applicazioni in una sandbox indipendente e che quindi la vulnerabilità non può intaccare il resto del sistema. Miller conferma quanto detto da Google ma mette comunque in guardia dai problemi che potrebbero derivare da una compromissione del browser, come il furto di password utilizzate sul web e l’accesso ai dati personali memorizzati dal browser.

Nel post in cui viene comunicata la scoperta, Miller attribuisce la responsabilità del problema a Google. Infatti Android è composto da più di 80 software open source differenti e in questo particolare caso, la vulnerabilità presente all’interno di uno di essi era già nota. Google sarebbe quindi colpevole di aver utilizzato una versione vecchia di uno dei componenti software nonostante un aggiornamento non vulnerabile fosse già disponibile.

Il ricercatore, noto anche per aver scoperto una falla dell’iPhone, approfitta dell’occasione anche per fare un breve confronto tra il melafonino e il googlefonino sul piano della sicurezza. Secondo Miller Android parte in vantaggio grazie al sandboxing, che chiude ognuna delle applicazioni in una camera stagna che impedisce, ad esempio, che un browser compromesso possa permettere ad un aggressore di effettuare delle telefonate. L’iPhone è invece privo di questa caratteristica e una volta penetrato nel sistema l’aggressore ha accesso a tutti i dati e tutte le funzioni del telefono.

Tag: Android, bug, falla, G1, Google, scoperta, Sistema operativo