"Fake ID": nuova vulnerabilità scovata in Android e prontamente risolta

Bluebox, la stessa azienda che aveva scoperto la vulnerabilità divenuta nota come "Master Key", ha fatto un'altra scoperta dolente per il robottino verde: un bug, chiamato non a caso "Fake ID", nel modo in cui Android gestisce i certificati utilizzati per firmare le applicazioni.

In pratica esso permette ad un'app malevola di essere accreditata nei certificati di altre app, guadagnando così privilegi che ovviamente non le competono.

LEGGI ANCHE: Master Key Attack

La risposta di Google è comunque stata molto rapida, e sia il Play Store che la funzione di verifica delle app (impostazioni -> sicurezza -> verifica app) sono stati entrambi aggiornati e in grado di rilevare il bug. Tutte le app presenti su Google Play sono già state esaminate, e anche alcune al di fuori dello store, e non ci sono prove di tentativi di sfruttare questa vulnerabilità. Possiamo insomma dormire sonni tranquilli.

A seguire la dichiarazione ufficiale di Google, che ringrazia comunque Bluebox:

We appreciate Bluebox responsibly reporting this vulnerability to us; third party research is one of the ways Android is made stronger for users. After receiving word of this vulnerability, we quickly issued a patch that was distributed to Android partners, as well as to AOSP. Google Play and Verify Apps have also been enhanced to protect users from this issue. At this time, we have scanned all applications submitted to Google Play as well as those Google has reviewed from outside of Google Play and we have seen no evidence of attempted exploitation of this vulnerability."