malware

Android e i permessi: cosa possono fare le app?

Roberto Orgiu

 

Il sistema di sicurezza di Android è fortemente basato sui permessi (un’evoluzione del sistema Unix, se vogliamo), ma nemmeno questo genere di ambiente è immune da bachi e pericoli; come dice il Principio sulla perversità della programmazione, c’è sempre un altro bug.

A quanto pare, l’errore in questione sarebbe legato proprio a ciò che un’app può esplicitamente fare o non fare: se non si dichiara alcun permesso nel Manifest, il software dovrebbe essere di fatto tagliato fuori dal mondo, impossibilitato a comunicare con servizi o altre applicazioni o leggere i nostri file (almeno secondo il senso comune), ma così non è. Sembra infatti che una qualsiasi applicazione possa andare a leggere i dati sulla nostra SD esterna senza aver bisogno di alcun permesso: il rischio è minimo? Dipende da cosa abbiamo sulla nostra scheda di memoria e quanto teniamo alla nostra privacy. Certo è che potrebbe anche dare qualche indizio su quali altri software o Rom alternative abbiamo installato, ma è anche vero che ci sono metodi più diretti che non richiedono comunque permessi.

Il vero problema si pone quando con un URL appositamente formattato queste app riescono ad aggirare la restrizione dovuta alla mancanza del permesso di utilizzo della rete: con indirizzi creati ad hoc sembra infatti possibile contattare un server remoto senza la richiesta di tale permesso e i ricercatori hanno comunicato che questo particolare problema affligge sia Gingerbread sia Ice Cream Sandwich, colpendo il 66,6% dei terminali Android (2 smartphone su 3).

Cosa ne pensate? Credete che Google correrà ai ripari rilasciando un aggiornamento di sicurezza?

Fonte: Fonte