Scoperta una falla nel sistema operativo targato Google: visitando una pagina web “maligna” utilizzando un dispositivo con Android, un aggressore potrebbe eseguire codice dannoso.
Scoperta la prima vulnerabilità che affligge Android, il sistema operativo targato Google installato al momento sul super-telefono “G1” (ufficialmente lanciato negli Stati Uniti). La falla di sicurezza è stata individuata dall’ISE (Indipendent Security Evaluators): gli esperti hanno scoperto che visitando una pagina web “maligna” utilizzando un dispositivo dotato del sistema operativo Android, un aggressore potrebbe risultare in grado di eseguire codice dannoso.
I tecnici dell’ISE hanno spiegato di aver messo a punto del codice exploit in grado di sfruttare la lacuna di sicurezza. Il problema di fondo sembrerebbe risiedere nel fatto che Google stia utilizzando, in Android, una versione datata di un pacchetto software opensource. ISE non ha tuttavia fornito maggiori dettagli.
Il codice maligno, secondo quanto illustrato, sarebbe in grado di operare con i privilegi utilizzati dal browser web. L’aggressore, insomma, non avrebbe comunque pieno controllo del telefono.
L’approccio utilizzato da Google nello sviluppo di Android è stato quello di separare ciascuna applicazione dal sistema operativo vero e proprio. Ogni programma viene eseguito all’interno di una “sandbox” così da isolare qualsiasi possibile vulnerabilità di sicurezza.
ISE ha comunque puntualizzato che nonostante ciò un trojan potrebbe tuttavia essere installato nello spazio di memoria del browser dando al malintenzionato “l’accesso a qualunque informazione gestita del browser stesso come il contenuto di cookie, password memorizzate, informazioni inserite nei moduli online”.
Informati del problema, i tecnici di Google hanno dichiarato di aver già provveduto a risolvere il problema. Gli utenti di G1 non saranno allertati dell’esistenza della vulnerabilità da parte di T-Mobile poiché il colosso di Mountain View sarebbe già in procinto di preparare e distribuire un aggiornamento.