Un bug lascia 1,4 miliardi di utenti Android a rischio sicurezza

È abbastanza clamorosa la scoperta fatta dal team di sicurezza Lookout nella giornata di oggi e che colpisce una fetta molto ampia di tutti gli utenti Android del mondo. Si tratta di un bug relativo al kernel linux 3.6 e che è presente anche in Android dalla versione 4.4 KitKat e successive (sì, anche nella beta di Android Nougat).

Questa falla colpirebbe quindi circa l'80% di tutta l'utenza Android (1,8 miliardi di dispositivi secondo Statista) e molto probabilmente anche voi che ci leggete. Si tratta del bug CVE-2016-5696 che permette ad un attaccante di introdursi in una connessione non criptata e far eseguire del codice malevolo. La soluzione quindi per proteggersi da questo baco è drastica: usare una VPN o connettersi solo a servizi e siti che utilizzano connessioni criptate.

Ars Technica fa un esempio di come questo attacco potrebbe essere utilizzato nei confronti degli utenti Android. Una volta intercettata una connessione non criptata con un qualsiasi servizio su internet si può per esempio eseguire un popup fasullo che richiede un nuovo accesso ad un servizio generico (mail, social, paypal, ecc.

..). Lo stesso potrebbe essere fatto anche all'interno del browser o tramite un client di posta. Se la connessione è criptata l'attaccante può comunque interrompere quella connessione. Google ha risposto ad una richiesta di commenti chiarendo che il bug non riguarda solo Android (ma Linux in generale) e che gli ingegneri sono al lavoro per sistemarlo, ma che la questione non ha massima priorità.

Questa scelta è probabilmente dovuta al fatto che è difficile che il bug possa essere sfruttato su larga scala. Ci vogliono infatti circa 10 secondi per testare se due client sono connessi (per esempio voi che ci leggete e Repubblica.it) e altri 45 secondi circa per inviare il codice malevolo nel traffico originale. Considerando quindi che si deve conoscere (o prevedere) l'esistenza di una certa connessione e il tempo necessario ad eseguirlo, è un attacco che solo gli utenti con profili più "sensibili" (politica, governo, militari, ecc...) rischiano in modo concreto. Ricordiamoci però che chi vuole rubare i nostri dati ha molto tempo libero.

Occhio quindi a siti o messaggi sospetti in attesa di un fix in una delle prossime patch mensili di Google.