Qualche tempo fa, vi avevamo parlato della falla nei dispositivi iOS. A quanto pare Android non vuole essere da meno: un bug vecchio di 4 anni permetterebbe ai trojan di presentarsi come app verificate e infettare i dispositivi con malware senza che l'utente possa rendersene conto.
Di solito le app vengono verificate usando firme criptografate: aggiornamenti modificati vengono rigettati se la firma non corrisponde con quella fornita dallo sviluppatore del software. Ma quelli di Bluebox Labs hanno scoperto un modo per modificare un APK di app senza infrangere la firma, il che significa che codici malevoli possono facilmente essere infiltrati e l’utente non se ne accorgerebbe.
Secondo gli esperti di sicurezza, il bug esisterebbe fin da Android 1.6 Donut e riguarda il 99 per cento dei dispositivi Android. La cosa è stata notificata a Google lo scorso febbraio, ma per via del modo in cui gli aggiornamenti del sistema operativo vengono distribuiti, sta ai vari produttori offrire patch ai propri utenti per chiudere la vulnerabilità.
Pare che il Galaxy S4 abbia già ricevuto la patch, ma stranamente quella per la linea Nexus è ancora in lavorazione.
Ma evitiamo il panico: anche se codici malevoli possono essere infiltrati in app verificate, il software deve trovare il modo per entrare nel vostro telefono. E se usate esclusivamente il Play Store, non è chiarissimo come questo possa avvenire, a meno che non scarichiate aggiornamenti contraffatti da app store di terze parti o dal web.
0 commenti:
Posta un commento