Android, il sistema operativo mobile più diffuso ed amato al mondo, è a rischio sicurezza. Un ricercatore ha, infatti, trovato una falla critica nella gestione dei dati “Exif”, capace di infettare un qualsiasi terminale senza alcuna azione/colpa da parte dell’utente vittima.
Nel suo ultimo bollettino sulla sicurezza, Google ha dichiarato l’esistenza di due gravi falle sul suo OS mobile. La prima, denominata “CVE-2016-3862” è stata scoperta da Tim Strazzere, ricercatore in sicurezza della società SentinelOne. Il bug permetterebbe di eseguire del codice sgradito o malevole su un dispositivo, attraverso la semplice ricezione di un’immagine nel formato standard JPEG sulla propria casella di posta elettronica o su un servizio di messaggeria istantanea.
La falla critica sarebbe stata identificata al livello della libreria “ExifInterface“, utilizzata dal sistema per accedere ai metadati Exif relativi alle immagini o alle fotografie immortalate. Ricordiamo, inoltre, che per provocare l’infezione non è richiesta alcun azione da parte dell’utente, se non aprire la mail o il messaggio infetti.
Secondo Tim Strazzere: « Non c’è bisogno di cliccare sull’immagine o di scaricare un allegato. È sufficiente aprire la mail o il messaggio ricevuto per essere immediatamente infettati. » Una precisazione però è obbligatoria: la vulnerabilità colpisce tutti i device con Android 4.2 e superiori.
Tuttavia, le sorprese non finiscono qui. Una seconda falla critica (CVE-2016-3861) è stata scoperta da Marc Brand, un ingegnere di “Google Project Zero”. La stessa si troverebbe in una libreria chiamata “libutils” e permetterebbe l’esecuzione di codice maligno o l’ottenimento di permessi di sicurezza elevati.
Secondo lo studioso, il problema risiederebbe al livello di una funzione dedicata alla conversione delle catene di caratteri Unicode. Inoltre, data la sua copiosa presenza in numerose librerie del sistema operativo mobile, la falla affligge « ogni terminale Android. » Per spiegare il suo funzionamento, infine, Brand ha fornito un esempio di hacking attraverso i metadati presenti in un semplice file MP3.
Fortunatamente, però, queste due falle critiche sono state riparate da Big G, grazie all’ultimo aggiornamento reso disponibile per gli smartphone della linea Nexus. Per quanto riguarda gli altri terminali, ora tocca alle case produttrici rilasciare eventuali aggiornamenti. Per ulteriori informazioni sulla vicenda, stay tuned su Tecnoandroid.it!