Difetto di sicurezza individuato in Google Phone G1

I ricercatori di Independent Security Evaluators dicono di aver scoperto un difetto di sicurezza nel browser Android che potrebbe rendere vulnerabili agli attacchi gli utenti dei telefoni con il browser.

Android, il software open source di Google che al momento è solo in esecuzione su un telefono, G1 di HTC, si basa su componenti open source obsoleti, dicono i ricercatori. Di conseguenza, la vulnerabilità che hanno scoperto era precedentemente nota e risolta, ma Google non ha incorporato la correzione in Android, dicono.

Il G1 è andato in vendita lo scorso mercoledì da T-Mobile USA, e Google ha pubblicato la fonte codice dietro Android il martedì. Altri produttori, tra cui Motorola, dovrebbero rilasciare anche telefoni con Android in futuro.

Su una pagina Web per ISE, Charlie Miller, Mark Daniel e Jake Honoroff hanno scritto che non riveleranno molto sulla vulnerabilità finché Google non risolverà esso. Tuttavia, affermano che gli utenti Android che visitano siti Web dannosi potrebbero ritirare le loro informazioni sensibili. Questo perché un utente malintenzionato può accedere a tutte le informazioni che il sito utilizza, tra cui password salvate, informazioni inserite in un modulo di domanda Web e cookie.

I ricercatori dicono, tuttavia, che l'impatto dell'attacco è limitato a causa dell'architettura di sicurezza di Android. Un utente malintenzionato non può, ad esempio, controllare le funzioni del telefono come il dialer.

Google ha affermato che sta sviluppando una soluzione al problema. "Stiamo lavorando con T-Mobile per includere una correzione per l'exploit del browser, che sarà presto distribuita via etere a tutti i dispositivi, e l'abbiamo affrontata nella piattaforma open source Android.La sicurezza e la privacy dei nostri utenti è di importanza primaria per il progetto Open Source Android: non crediamo che questo problema possa avere un impatto negativo su di loro ", ha detto la società in una nota.

I ricercatori dicono di aver notificato a Google il problema il 20 ottobre.

L'incidente solleva domande sulle potenziali difficoltà che la comunità Android potrebbe incontrare in futuro. Poiché Google ha adottato un modello aperto con Android, molti fornitori e operatori in futuro potrebbero offrire una varietà di telefoni, ognuno potenzialmente con versioni leggermente diverse del sistema operativo. Se in futuro verranno rilevate vulnerabilità, i produttori di telefoni e gli operatori dovranno determinare se la loro versione del software è interessata e quindi coordinare la distribuzione di una correzione agli utenti.