Android: aggiornamenti sul “Master key” security flaw

Di - 15 July 2013 - in
Android bug

La scorsa settimana BlueBox, startup specializzata in sicurezza informatica, ha annunciato la presenza di un bug in Android che mette a rischio la sicurezza delle applicazioni — in particolare quelle installate al di fuori del Play Store — consentendone la modifica del codice senza alterarne l’integrità della firma digitale.

Come emerge dalle informazioni presenti nel bug report CYAN-1602, questo bug si basa sulla possibilità di includere nello stesso APK (Android Application Package) due o più files con lo stesso nome e sulla gestione in Android di questi file duplicati.

Pau Oliva Fora – ingegnere addetto alla sicurezza presso viaForensics – sulla base di queste informazioni ha pubblicato la sua proof-of-concept nella quale mostra come sfruttare questa vulnerabilità; sebbene non siano stati divulgati molti dettagli tecnici sul bug, il team di CyanogenMod ha provveduto ad includere nelle versioni 10, 9 e 7 del firmware una patch, fornita dal googler Geremy Condra nel Febbraio di quest’anno, che risolve il bug; la revisione relativa a questo bug è disponibile su http://review.cyanogenmod.org.

Per quanto riguarda Android invece, Google ha annunciato di aver fornito una patch ai produttori, i quali starebbero provvedendo al rilascio degli aggiornamenti; ricordiamo che tutti i dettagli tecnici del bug saranno svelati in occasione del Black Hat USA 2013 dallo stesso Jeff Forristal, security researcher presso BlueBox.
Nel frattempo è possibile controllare la presenza di applicazioni che sfruttano questa vulnerabilità grazie all’applicazione Bluebox Security Scanner.

Fonti | Ars Technica, CyanogenMod

Leave a Reply

Claudio d'Angelis Articolo scritto da

Programmatore e studente di Informatica, appassionato di musica, web e sistemi UNIX. Collabora con Googlab dall'Ottobre 2012.

Contatta l'autore

Previous post:

Next post: