Durante il Defcon 2013, la conferenza di sicurezza in corso in questi giorni, è stato reso pubblico una falla di sicurezza in Android che sfrutta un buco nel protocollo di autenticazione di Google. A renderlo noto è stato Craig Young, ricercatore esperto in sicurezza, che ha evidenziato come il buco di sicurezza potrebbe, se sfruttato, permettere l’accesso di un intruso a tutti i servizi Google associati con l’account utente.
La falla nasce da una funzione di Android chiamata “Weblogin”, quella che permette agli utenti di registrarsi a qualunque servizio Google utilizzando l’account del proprio telefono. Comodo, ma il problema, evidenzia Young, è che questa facilità di accesso è molto comoda anche per i cybercriminali. Basta ottenere acceso ai dati del Weblogin per poter accedere a tutti i servizi Google usati da quel telefono Android e poi, tramite root, ottenere anche accesso fisico al telefono.
Per dimostrarlo, Young ha creato un’app in grado di rubare i dati di Weblogin. L’applicazione, un “semplice” tool per seguire l’andamento delle proprie azioni in borsa, durante l’installazione chiedeva permessi per trovare account associati al telefono (cosa piuttosto normale e che non implica, in sé, nessun tipo di pericolo). Ma una volta scaricata, l’app richiedeva l’accesso all’account di Google Finance. Tramite questo poteva avere via libera in tutti gli altri servizi Google dell’utente, come Gmail e Google Drive.
L’applicazione è stata regolarmente pubblicata sul Google Play, nonostante nella descrizione si indicasse chiaramente che si trattava di un malware e che non doveva essere installata dagli utenti. Il sistema di identificazione malware di Google, inoltre, non è stato in grado di riconoscere che si trattava di un’app pericolosa. Non hanno rilevato minacce neanche i più comuni antivirus per cellulari, come Avast! o Norton.
Google è stato avvisato del falla di sicurezza ed è attualmente al lavoro per risolverlo, anche se ancora non sono state comunicate soluzioni definitive al problema.
Young ha ricordato agli utenti che al momento l’unico modo per proteggersi è di prestare particolare attenzione durante l’installazione di un’app e rispondere “no” a qualunque richiesta che contenga la parola “Weblogin” o ID.
[Via: PCWorld]
