Android sotto la lente degli esperti in sicurezza



I pirati informatici sono sempre stati molto attenti al mercato identificando i prodotti più appetibili dai quali ricavare i maggiori introiti. Oggi, con la diffusione in tutto il mondo degli smartphone si sono orientati, ovviamente verso questo “mercato” che promette, per i malviventi, di essere molto proficuo. Maggiormente sotto mira è Android, per la sua ampia diffusione internazionale e, molto probabilmente, a causa di aggiornamenti non sempre precisi e puntuali. Almeno questo è quanto sembra emergere dalle dimostrazioni degli esperti in sicurezza riuniti a Las Vegas per partecipare alla Black Hat Conference, l’evento annuale più importante in materia di sicurezza informatica.

Le falle non sono da poco, giacché la prima a essere stata dimostrata riguarda il sistema NFC (Near Field Comunication) che consente non solo di scambiare dati fra due smartphone vicini ma anche di eseguire micro pagamenti utilizzando il device come borsellino elettronico. Un piccolo dispositivo RFID, delle dimensioni di un francobollo, può essere messo da un malintenzionato nelle immediate vicinanze di una cassa e, quando uno smartphone con il sistema operativo di Google passa nelle vicinanze, è in grado di inviare un codice che consente al pirata di prenderne il controllo con gravissime conseguenze sulla garanzia della riservatezza dei dati.

Un secondo problema, peraltro già noto a Google, riguarda il browser Chrome installato sugli smartphone Android che può essere “bucato” con un semplice SMS che consente al pirata di prendere il controllo del telefonino con buona pace della sicurezza. Purtroppo, come sottolineato dagli esperti, anche se il baco di Android è stato già risolto non tutti i dispositivi, sono aggiornati poiché i vari produttori non sempre rilasciano, tempestivamente, le patch di sicurezza per tutti i modelli.

Le dimostrazioni della vulnerabilità del sistema NFC si sono svolte utilizzando come “cavie” tre diversi dispositivi: un Samsung Nexus S, un Samsung/Google Galaxy Nexus e un Nokia N9. Quest’ultimo, dotato del sistema operativo Meego, ha accettato, senza richiedere conferma, qualsiasi richiesta NFC e Charlie Miller, un ricercatore in materia di sicurezza, noto per aver craccato Safari, il MacBook Air, iPad e iPhone, è riuscito, dopo averne preso il controllo, a fargli fare chiamate, inviare SMS, caricare e scaricare archivi inclusa la rubrica.

Nel caso del Nexus S, con Android 2.3 GingerBread, il controllo del sistema NFC è stato assunto utilizzando uno speciale tag RFID (ma è possibile farlo con uno smartphone con NFC abilitato). Non è andato meglio con il Galaxy Nexus sia con ICS sia con l’ultimissima versione del sistema operativo targato Big G. Quindi la vulnerabilità del sistema NFC è stata ampiamente dimostrata, almeno su Android, e richiederà ulteriori sviluppi, peraltro già possibili con le attuali specifiche, per garantirne l’inviolabilità.