Una pesante falla di vulnerabilità colpisce il browser AOSP presente sul 75% dei dispositivi Android usati ogni giorno. In attesa di una patch è meglio installare app alternative
Quasi il 45% degli smartphone e tablet Android ha un browser web vulnerabile da almeno due falle di sicurezza. E’ ciò che afferma l’azienda specializza Lookout che ha analizzato il sistema operativo presente in diverse versioni sui dispositivi mobili attualmente sul mercato. I problemi evidenziati dalla Lookout erano stati individuati a fine settembre da Rafay Baloch e descritti come un “disastro per la privacy” da molti ricercatori. Il motivo è semplice: la falla permetterebbe ad un attaccante esterno di bypassare il nucleo di protezione del browser, chiamato SOP (same-origin-policy), che esiste in tutti i browser Android. Questo sistema dovrebbe prevenire l’interazione di domini autentici con script provenienti da controparti fasulle, create apposta per ingannare gli utenti e lanciare minacce. Ad esempio uno script conservato su un dominio originale e affidabile “A” non dovrebbe interfacciarsi con contenuti caricati sul dominio “B”, presenti sulla stessa pagina.
Non aprite quel browser
Senza tale restrizione, gli hacker possono creare pagine che caricano il news feed di Facebook, le cartelle di Gmail o altri portali conosciuti e poi inserire all’interno moduli che permettano di spiare gli utenti o rubare informazioni, servendosi della sessione aperta per entrare nei loro dispositivi. La vulnerabilità scoperta da Baloch interessa tutte le versioni di Android precedenti alla 4.4 KitKat che, secondo gli ultimi dati di Google, sono installate su almeno il 75% di tutti i device con il robottino verde. Android 4.4 non è vulnerabile perché usa Chrome come browser predefinito invece di quello del progetto AOSP (Android Open Source Project). Google ha già realizzato una patch per chi monta una versione “pulita” di Android, come i terminali Nexus. Adesso la palla passa ai singoli produttori che dovranno aggiornare i firmware per chiudere la vulnerabilità. Fino a quel momento il consiglio è di non utilizzare il browser predefinito di Android ma le valide alternative Chrome e Firefox.