Fake ID, il nuovo bug Android delle identità fasulle

I ricercatori di Bluebox Security hanno pubblicato i dettagli relativi ad un nuovo pericoloso bug di sicurezza presente all’interno di Android.

Tale vulnerabilità, soprannominata Fake ID, va a permettere alle app malevole di camuffarsi da codice legittimo per compiere ogni genere di azione dannosa.

Secondo la documentazione di Big G le applicazioni Android devono essere prima firmate per poter essere installate sul sistema operativo ma il certificato digitale utilizzato per apporre tale firma non sembra aver bisogno di alcuna autorizzazione per essere rilasciato poiché possibile auto-firmare il certificato stesso. Tra questi certificati ce ne sono alcuni hard-coded utilizzati da diversi sviluppatori in quanto garantiscono un accesso speciale con privilegi particolari in tutto il sistema operativo come nel caso di quello utilizzato da Adobe che auto-firmando le proprie app con tale certificato può di fatto mettere mano al codice di altre applicazioni installate sul dispositivo ad esempio per permettere loro di utilizzare il plugin relativo al Flash Player.

Quello in questione rappresenta indubbiamente un grosso vantaggio ma in tal modo un eventuale utente malintenzionato può auto-firmarsi un’app maligna con tale particolare certificato ed andare ad infettare tutto il sistema.

Il codice iniettato dal malware diventerebbe dunque parte delle altre applicazioni ereditandone le relative autorizzazioni. In questo modo si avrebbe accesso a tutti i dati memorizzati dalle app con la possibilità di eseguire le azioni che le stesse applicazioni infettate possono effettuare a cauda dell’autorizzazione approvata dall’utente in precedenza.

L’attacco può essere utilizzato solo per dirottare le applicazioni che utilizzano il componente WebView su versioni Android 4.3 e precedenti.

Google ha comunicato di aver già realizzato una patch in grado di chiudere il bug anche se al momento non risultano casi di app malevole progettate per sfruttare la vulnerabilità.