Android Pirateria Sicurezza final - 3

Google risolve un bug vecchio 5 anni e introduce nuove musire di sicurezza in Android N

Nicola Ligas

Con il tema della sicurezza sempre al centro dell’attenzione, anche perché non tutte le misure adottate sembrano così infallibili, Android N dovrà senz’altro distinguersi in quest’ambito, e Google sta già prendendo provvedimenti affinché almeno i casi più eclatanti, come quello di Stagefright, non si verifichino più.

Questo particolare bug aveva a che fare con la riproduzione di contenuti multimediali, un’area da sempre critica, perché i mediaserver hanno spesso accesso a varie componenti del telefono: dalla fotocamera, al microfono, alle connessioni di rete ed altro, rendendoli suscettibili ad un’ampia varietà di problemi, sia accidentali che volontari.

Per evitare quindi l’insorgere di complicazioni più o meno volute, Android N dividerà i mediaserver ed i relativi permessi in varie componenti, ciascuna con la sua sandbox (un ambiente di esecuzione protetto ed isolato dal resto del sistema), in modo da limitare il campo di accesso di possibili vulnerabilità e prevenire eventuali scalate di privilegi. Se foste interessati ad approfondire l’argomento, trovate ulteriori informazioni sul blog degli sviluppatori.

LEGGI ANCHE: Violate milioni di email Google, Yahoo! e Microsoft

Sempre in tema di sicurezza, vi segnaliamo che le ultime patch di maggio hanno risolto un bug vecchio di 5 anni (CVE-2016-2060), che affliggeva alcuni dispositivi con SoC Qualcomm e che sostanzialmente permetteva di accedere ad SMS e log delle chiamate, cambiare alcune impostazioni di sistema e disabilitare il blocco schermo.

Difficile dire il numero esatto di dispositivi affetti, anche perché non siamo sicuri che la cosa sia valida per qualsiasi CPU Qualcomm. I dispositivi con Android 4.3 Jelly Bean, o precedente versione del sistema operativo, sono quelli che probabilmente rimarranno vulnerabili; quelli successivi dovrebbero essere al sicuro. In parole povere, poco meno del 25% dei dispositivi Android potrebbe esserne affetto, a di questo 25% dovete considerare solo quelli con SoC Qualcomm; e di quelli con SoC Qualcomm non è detto che tutti siano suscettibili al bug.

Cose come questa non vanno insomma prese alla leggera, ma nemmeno trattate con panico eccessivo del tipo “milioni di dispositivi Android a rischio“. Considerando che parliamo di una vulnerabilità vecchia di 5 anni, se non siete stati colpiti finora ci sono buone probabilità che non lo sarete nemmeno in futuro, e con il passare del tempo e l’aggiornarsi del parco dispositivi il rischio diventerà sempre più basso. In ogni caso, se aveste uno smartphone potenzialmente vulnerabile, forse vi conviene non conservare i messaggi che potrebbero essere usati contro di voi; non si sa mai.

Via: PhandroidFonte: Fireeye
qualcomm