Falsi certificati per installare malware su dispositivi Android

E' stata individuata una vulnerabilità di Android che è presente su tutte le versioni dalla 2.1 (Eclair :-) ) alla 4.3 (Jelly Bean) e che può dare spiacevoli grattacapi a milioni di utenti. La vulnerabilità è stata rinominata Fake ID perché si basa sul fatto che i malintenzionati possono contraffare i certificati di alcune terze parti quali Adobe e usarli per eludere i controlli di sicurezza di Android. Un po come i truffatori che si presentano a casa con divise e distintivi falsi e vi convincono a farli entrare. Una volta entrati, il vostro telefono e le vostre app sono a completa disposizione del malintenzionato. Non solo le versioni citate sopra sono vulnerabili, anche tutte le varie versioni alternative nate con l'Android Open Source Project hanno lo stesso problema, compreso il sistema operativo di Amazon, Fire.

Le applicazioni vengono 'firmate' con dei certificati PKI. Inoltre i certificati a loro volta possono essere collegati ad altri certificati in una parentela padre-figlio. il set di certificati di una app stabilisce chi la può aggiornare e con quali applicazioni può scambiare dati. Alcuni di questi certificati hanno diritti speciali, come Adobe. Una app che ha il certificato di Adobe può essere usata come plugin web per altre applicazioni. Gli hacker devono quindi creare un set di certificati contenenti uno o più di questi certificati privilegiati e distribuire il loro malware ed il gioco è fatto. L'app verrà installata senza troppi controlli, ereditando i privilegi delle app 'fidate'.

Google è stata avvisata del problema ed è gia disposibile una fix. "Appena ci è stata comunicata questa vulnerabilità, abbiamo subito prodotto una fix che è stata gia distribuita a tutti i nostri partner" ha dichiarato Christopher Katsaros, che poi ha aggiunto "Google Play e Verify Apps sono stati migliorati in modo che la protezione dei nostri clienti possa essere assicurata."