bug final malware

Android e Shellshock: tutto quello che dovreste sapere

Nicola Ligas -

Shellshock è il nome dato ad una grave falla scoperta nella Bash, la Shell predefinita di moltissimi sistemi Unix, la cui scoperta è stata annunciata mercoledì scorso da Red Hat. Essa riguarda pertanto sistemi come Linux e Mac OS, ma più che il singolo utente, a rischio sono i server che popolano internet, spesso basati appunto su sistemi operativi derivati da Unix. E Android?

LEGGI ANCHE: Come rilevare se il vostro Android è a rischio Heartbleed

Google ha dichiarato che Android usa un’alternativa alla Bash, chiama Mksh, che non è afflitta da tale vulnerabilità. Questo significa che Android è genericamente sicuro, a meno che l’utente finale o il produttore stesso del dispositivo non abbiano modificato il sistema (questo può essere particolarmente vero nell’ambito delle custom ROM).

La vulnerabilità può essere verificata su qualsiasi sistema semplicemente eseguendo questo banale script da shell Bash: env ‘x=() { :;}; echo vulnerable’ ‘BASH_FUNC_x()=() { :;}; echo vulnerable’ bash -c “echo test”. Se vedremo scritto “vulnerable” significa che il sistema è appunto vulnerabile, mentre con “test” andrà tutto bene (sostituite a piacere le frasi che preferite). Ma niente panico.

La pericolosità di Shellshock è sempre “quella”: la possibilità per un malintenzionato di ottenere accesso a informazioni riservate, effettuare modifiche indesiderate al sistema, e tutto ciò è ancor più grave se avviene su server che forniscono servizi via internet, dove non solo i servizi stessi, ma anche i dati ivi contenuti sono a rischio.

Ribadiamo infatti che il rischio più grande non è tanto per l’utente finale di sistemi Linux o Mac, che a breve dovrebbero ricevere le patch di sicurezza del proprio produttore, quanto per tutti quei sistemi interessati dalla falla e che rimarranno non aggiornati per mesi se non anni. Per approfondire il dettaglio tecnico, potete leggere questo articolo di Red Hat.