Heartbleed, con il bug di OpenSSL anche Android è in pericolo?

Heartbleed non minaccia solo i server, ma anche i terminali degli utenti mobile, secondo Trend e Symantec. Anche Google diffonde l'allarme.

android-heartbleed

Heartbleed è davvero una catastrofe, ma ci era stato detto che colpiva i server dei servizi ai quali accediamo ogni giorno, mettendo in pericolo dati personali e credenziali. Secondo Trend Micro, Symantec e altri team di ricercatori nel campo della sicurezza informatica il problema potrebbe colpire ancora più profondamente la vita dell’uomo comune, sempre che tale uomo comune abbia nella propria vita anche uno smartphone Android.

Google aveva già diramato un comunicato venerdì, ma con il passare dei giorni è venuto alla luce che oltre alla versione 4.1.1 in cui Google aveva inserito le versioni di OpenSSL, anche alcuni Android 4.2.2 personalizzati da operatori telefonici oppure dai produttori di smartphone erano affetto da Heartbleed.

Inutile dire che è molto più difficile che un sistema opeartivo mobile sia patchato in fretta rispetto a un server o persino un OS desktop, quindi chi si ritrova vulnerabile ha un serio problema

Forse il 39% di smartphone Android è vulnerabile, e quasi nessuno di essi viene aggiornato regolarmente, sempre che si possa aggiornare. Oltre alle versioni 4.1.X e 4.2.2, sono circa 273 le app presenti sul Google Play store a usare la versione pericolosa di OpenSSL. Trend Micro ha creato uno scanner apposito per capire se il proprio device è vulnerabile.

Heartbleed, che problemi per gli smartphone?


Heartbleed causa una “fuga di memoria” da un sistema che ne è affetto. Come spiegato altrove, un hacker che conosce il problema può fare una richiesta di ping ma specificare un quantitativo di dati molto elevato, ottenendo di fatto uno sguardo alla RAM del device che cerca di riempire il vuoto come può.

Un telefono o tablet vulnerabile potrebbe essere attaccato in un paio di maniere diverse. Uno di essi è di attirare la vittima su un sito fasullo, copia di uno vero, e tempestare di richieste il terminale, ottenendo dati da tutti i tab aperti.

Un’altra maniera, invece, consiste nell’installare codice malevolo grazie a una versione non aggiornata del browser di Android, e sfruttare il buco di Heartbleed una volta penetrato nel sistema senza dover sopraffare le numerose protezioni e autorizzazioni necessarie. Altri pericoli possibili sono l'attacco man-in-the-middle, oppure approfittare del fatto che l'utente con lo smartphone vulnerabile si trovi all'interno dello stesso network wi-fi (che è teoricamente fattibile in un locale con rete a disposizione dei clienti).

La struttura di Android impedisce di accedere alla memoria di altre app, fortunatamente.

Via | Comunicato stampa Trend Micro

  • shares
  • Mail