Come ben sappiamo, nessun software esistente sulla faccia della terra è perfetto, nessun software non ha problemi di sicurezza e nessun software non ha bug, Google nella 4,4,3 di Android ha corretto una fondamentale falla di sicurezza, vediamola!
Il bug era noto, ed era stato scoperto qualche tempo fa, era molto importante la sua correzione dato che sfruttava una semplice, quanto nascosta falla nel sistema, che si basava sul demone di sistema che “montava” ossia, forniva un punto di acesso alla scheda SD, o comunque a una partizione del sistema, il quale non controllava il path di accesso, ma semplicemente eseguiva il montaggio e dava i permessi di scrittura a colui il quale li richiedeva.
Ebbene, proprio per questo, chiunque avesse intenzione di attaccare il dispositivo, poteva passare a questo demone un path arbitrario, il quale avrebbe aperto e modificato i file in esso contenuti, a discrezione del malware.
Come è stato corretto quindi?
Beh, semplice, il commit che è stato fatto non fa altro che aggiungere un controllo supplementare a questo demone, ora invece di montare senza controllare nulla, effettua un controllo di accettazione del path, se esso è legittimo, ossia se esso riguarda solo ed esclusivamente la app, continuerà con le operazioni, altrimenti, fermerà e ucciderà la app, o il servizio che richiederà tale prestazione dal demone.
Ma come lo fa? beh, per i meno esperti, c’è da dire che in Linux esistono path che possono essere indicati tramite “.” e “..” che rispettivamente indicano “attuale directory” e “directory superiore”, il potenziale malware sfruttava proprio questa questione e passava un doppio punto così da accedere alle directory superiori e avere a “cascata” i permessi di scrittura, insomma, non era molto sicura la cosa!
Ora Google ha fixato ciò nella versione 4.4.3, quindi possiamo dormire sogni tranquilli!