20110609100051_1021462619_20110609100025_1434382147_Android_Market.png

Un bug in Android Market consentiva di installare App automaticamente

09/03/2011
- A cura di
Zane.
Telefonia & Palmari - Un bruttissimo baco nel negozio digitale di Google poteva essere sfruttato per installare software di nascosto sui telefonini degli utenti. Ora è stato risolto, ma il pericolo era enorme.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

bug (1) , installare (1) , android (1) , app (1) .

L'esperto di sicurezza Jon Oberheide ha riportato sul proprio blog i dettagli di un pericoloso problema di sicurezza rintracciato su Android Market, la fonte ufficiale di applicazioni per il sistema operativo mobile di Google.

Il difetto era indubbiamente uno di quelli estremamente gravi: sfruttando a dovere il tutto, un cracker avrebbe potuto installare automaticamente applicazioni ostili sullo smartphone Android delle proprie vittime, semplicemente inducendole a visitare un determinato link.

All'origine del problema, ha spiegato Oberheide, vi era la mancata validazione del testo inserito come descrizione delle applicazioni in fase di pubblicazione. Gli sviluppatori era infatti liberi di inserire codice Javascript funzionante che, non venendo opportunamente purificato, finiva poi per essere interpretato ed eseguito sul computer della vittima.

Sfruttando questa debolezza, nota come cross-site scripting (XSS), per inserire lo stesso codice richiamato di norma per installare i programmi realmente desiderati, ecco il cracker avrebbe potuto auto-installare il software appena pubblicato sui terminali di tutti coloro che visitassero la pagina di presentazione.

Tramite un secondo espediente tecnico, l'aggressore avrebbe poi potuto assicurarsi anche auto-esecuzione dell'applicazione appena installata.

Di più: grazie alla nuova funzionalità che consente ai possessori di apparecchi governati da Android di "prenotare" le applicazioni desiderate anche utilizzando il PC fisso, il cracker era in grado di installare applicazioni automaticamente sullo smartphone sia in caso la vittima avesse visitato la pagina tramite il browser web del dispositivo mobile, sia in caso l'URL fosse stato aperto su un computer propriamente detto.

Fortunatamente, l'esperto ha segnalato privatamente a Google la propria scoperta ed ha atteso che l'azienda risolvesse il baco prima di pubblicare i dettagli del tutto sul proprio blog.

Di conseguenza, sembra non vi siano stati incidenti correlati. Se così non fosse stato, Android Market sarebbe stato oggetto del secondo incidente di una certa portata in pochi giorni.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.23 sec.
    •  | Utenti conn.: 73
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0.1