Punto informatico Network

Ultime news

Ultimi articoli

Le ultime dal Forum

MegaForum

Le nostre guide
Home » Telefonia & Palmari » News
20110609100051_1021462619_20110609100025_1434382147_Android_Market.png

Un bug in Android Market consentiva di installare App automaticamente

09/03/2011
- A cura di
Zane.
Telefonia & Palmari - Un bruttissimo baco nel negozio digitale di Google poteva essere sfruttato per installare software di nascosto sui telefonini degli utenti. Ora è stato risolto, ma il pericolo era enorme.

Network Motori

    In collaborazione con newstreet.it

    Correlati

     
    Tag Cloud

    Tag

    Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

    bug (1) , installare (1) , android (1) , app (1) .
    Tag Cloud

    Valutazione

    •  
    Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

    L'esperto di sicurezza Jon Oberheide ha riportato sul proprio blog i dettagli di un pericoloso problema di sicurezza rintracciato su Android Market, la fonte ufficiale di applicazioni per il sistema operativo mobile di Google.

    Il difetto era indubbiamente uno di quelli estremamente gravi: sfruttando a dovere il tutto, un cracker avrebbe potuto installare automaticamente applicazioni ostili sullo smartphone Android delle proprie vittime, semplicemente inducendole a visitare un determinato link.

    All'origine del problema, ha spiegato Oberheide, vi era la mancata validazione del testo inserito come descrizione delle applicazioni in fase di pubblicazione. Gli sviluppatori era infatti liberi di inserire codice Javascript funzionante che, non venendo opportunamente purificato, finiva poi per essere interpretato ed eseguito sul computer della vittima.

    Sfruttando questa debolezza, nota come cross-site scripting (XSS), per inserire lo stesso codice richiamato di norma per installare i programmi realmente desiderati, ecco il cracker avrebbe potuto auto-installare il software appena pubblicato sui terminali di tutti coloro che visitassero la pagina di presentazione.

    Tramite un secondo espediente tecnico, l'aggressore avrebbe poi potuto assicurarsi anche auto-esecuzione dell'applicazione appena installata.

    Di più: grazie alla nuova funzionalità che consente ai possessori di apparecchi governati da Android di "prenotare" le applicazioni desiderate anche utilizzando il PC fisso, il cracker era in grado di installare applicazioni automaticamente sullo smartphone sia in caso la vittima avesse visitato la pagina tramite il browser web del dispositivo mobile, sia in caso l'URL fosse stato aperto su un computer propriamente detto.

    Fortunatamente, l'esperto ha segnalato privatamente a Google la propria scoperta ed ha atteso che l'azienda risolvesse il baco prima di pubblicare i dettagli del tutto sul proprio blog.

    Di conseguenza, sembra non vi siano stati incidenti correlati. Se così non fosse stato, Android Market sarebbe stato oggetto del secondo incidente di una certa portata in pochi giorni.
    Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!
     

    Segnala ad un amico

    Tuo nome Tuo indirizzo e-mail (opzionale)
    Invia a:
      Aggiungi indirizzo email
      Testo

      © Copyright 2024 BlazeMedia srl - P. IVA 14742231005

      • Gen. pagina: 0.22 sec.
      •  | Utenti conn.: 55
      •  | Revisione 2.0.1
      •  | Numero query: 43
      •  | Tempo totale query: 0.03