bugdroid hitoshi mitani (8)

Quel bug vecchio 4 anni, che ancora minaccia Android

Nicola Ligas

I ricercatori di Bluebox Labs affermano di aver trovato un bug che risale ai tempi di Android 1.6 Donut, e che consentirebbe l’installazione di applicazioni malevole, perfettamente mascherate da “sane”. Come? I pacchetti Android, come probabilmente saprete, devono essere verificati con una firma crittografica, che ne assicura l’integrità in modo da consentire così l’eventuale aggiornamento di un pacchetto già esistente. Ebbene, Bluebox afferma di aver trovato un modo per modificare i pacchetti, senza alterarne la firma: avremo pertanto un apk dannoso, mascherato come uno regolare, con tutti i problemi che questo comporta.

Prima di gridare allo scandalo, chiariamo che il Play Store non può essere sfruttato in tal senso, quindi se, come sempre, avete installato solo software di provenienza sicura, potete continuare a dormire sonni tranquilli. Vero è che se reperite pacchetti a giro per la rete i rischi ci sono sempre, anche se in teoria nessun apk di terze parti, se modificato, dovrebbe essere in grado di sostituirsi all’app ufficiale, mentre invece pare sia possibile.

Il bug è stato riportato a Google nel febbraio 2013, ed essendo correlato anche al dispositivo in questione, è compito del singolo produttore rilasciare specifiche patch. Il colmo di questa vicenda? Il Galaxy S4 è già stato sistemato, mentre i Nexus sono ancora in attesa.

Via: The Verge