MegaLab.it
Stampa Articolo
Aperiodico gratuito di informatica
 
20110609100051_1021462619_20110609100025_1434382147_Android_Market.png

Un bug in Android Market consentiva di installare App automaticamente

a cura di Zane
09/03/2011 - news
Telefonia & Palmari - Un bruttissimo baco nel negozio digitale di Google poteva essere sfruttato per installare software di nascosto sui telefonini degli utenti. Ora è stato risolto, ma il pericolo era enorme.

L'esperto di sicurezza Jon Oberheide ha riportato sul proprio blog i dettagli di un pericoloso problema di sicurezza rintracciato su Android Market, la fonte ufficiale di applicazioni per il sistema operativo mobile di Google.

Il difetto era indubbiamente uno di quelli estremamente gravi: sfruttando a dovere il tutto, un cracker avrebbe potuto installare automaticamente applicazioni ostili sullo smartphone Android delle proprie vittime, semplicemente inducendole a visitare un determinato link.

All'origine del problema, ha spiegato Oberheide, vi era la mancata validazione del testo inserito come descrizione delle applicazioni in fase di pubblicazione. Gli sviluppatori era infatti liberi di inserire codice Javascript funzionante che, non venendo opportunamente purificato, finiva poi per essere interpretato ed eseguito sul computer della vittima.

Sfruttando questa debolezza, nota come cross-site scripting (XSS), per inserire lo stesso codice richiamato di norma per installare i programmi realmente desiderati, ecco il cracker avrebbe potuto auto-installare il software appena pubblicato sui terminali di tutti coloro che visitassero la pagina di presentazione.

Tramite un secondo espediente tecnico, l'aggressore avrebbe poi potuto assicurarsi anche auto-esecuzione dell'applicazione appena installata.

Di più: grazie alla nuova funzionalità che consente ai possessori di apparecchi governati da Android di "prenotare" le applicazioni desiderate anche utilizzando il PC fisso, il cracker era in grado di installare applicazioni automaticamente sullo smartphone sia in caso la vittima avesse visitato la pagina tramite il browser web del dispositivo mobile, sia in caso l'URL fosse stato aperto su un computer propriamente detto.

Fortunatamente, l'esperto ha segnalato privatamente a Google la propria scoperta ed ha atteso che l'azienda risolvesse il baco prima di pubblicare i dettagli del tutto sul proprio blog.

Di conseguenza, sembra non vi siano stati incidenti correlati. Se così non fosse stato, Android Market sarebbe stato oggetto del secondo incidente di una certa portata in pochi giorni.

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .

Copyright 2008 MegaLab.it - Tutti i diritti sono riservati