[ Leggi dalla fonte originale]
Spesso su queste pagine parliamo di vulnerabilità o problemi di sicurezza dei vari sistemi operativi (qui trovate una nostra guida su come fare acquisti online in sicurezza), ma quest’ultimo caso è particolarmente interessante in quanto una grave falla presente in molti dispositivi Android è stata individuata nientemeno che da Microsoft.
Il problema, sfuggito ai controlli di sicurezza automatici di Google, era presente in un framework pre-installato, come strumento di auto-diagnosi, in molte app di sistema usate da alcuni produttori di smartphone Android, e prodotto da MCE Systems.
Ovviamente, essendo presente in app di sistema, il framework ha molte autorizzazioni che gli consentono di ottenere il controllo quasi completo sul telefono, e Microsoft ha scoperto che un utente malintenzionato poteva impiantare una backdoor persistente per sorvegliare di nascosto il proprio obiettivo o per assumere un controllo sostanziale sul dispositivo in questione grazie a iniezioni JavaScript non sicure.
Il problema è che nonostante ora la vulnerabilità sia stata corretta (utilizzando una soluzione già presente nelle API da Android 5, tra l’altro) da MCE Systems e Microsoft, alcune app che ne soffrono non sono ancora state aggiornate, e in quanto app di sistema non possono essere disinstallate. Secondo il sito di MCE Systems, le app coinvolte sono di AT&T e dei vettori canadesi Telus, Rogers, Freedom Mobile e Bell (già aggiornate), oltre a T-Mobile, Vodafone, EE e Assurant. In ogni caso il produttore ha sviluppato un tool (qui sotto) per controllare il dispositivo e comunque per sfruttare la vulnerabilità il malintenzionato deve avere accesso fisico allo smartphone.
Via:
Android Police
Fonte:
Microsoft