Anche il G1, il primo telefonino equipaggiato con Android, è vulnerabile.
A comunicarlo è Charlie Miller, famoso ricercatore indipendente noto ai più per essere stato tra i primi a bucare Mac OS X e iPhone. La vulnerabilità risiede nel browser web che opportunamente indirizzato verso un sito malevolo permetterebbe l’installazione di software all’interno del telefono senza l’intervento dell’utente.
Benché Miller affermi di avere a disposizione un exploit per questa falla, non ha comunicato alcun dettaglio al riguardo preferendo aspettare la patch di Google. Ha comunque precisato che il problema è principalmente dovuto all’utilizzo di una versione vecchia di uno fra i tanti software utilizzati da Google per assemblare Android e che la vulnerabilità di tale software era già nota: sarebbe bastato utilizzare una versione aggiornata del software “colpevole” per evitare questo smacco. Sia Miller che Google però precisano: anche con questa vulnerabilità il G1 resta relativamente sicuro.
Android, infatti, utilizza delle Sandbox separate per ogni applicazione, un sistema che permette di confinare i problemi all’interno di una scatola a tenuta stagna (una per ogni programma in funzione) ed evitare che contagino gli altri componenti del sistema. Resta però aperta la possibilità che un aggressore possa installare un keylogger all’interno del browser per sniffare le password, oppure che vada a leggere nei cookie e nei file della cache delle informazioni riservate.
Miller non manca di lanciare una frecciatina a iPhone: il sistema all’interno del telefonino Apple non sarebbe infatti altrettanto ben strutturato. Una volta che un’applicazione viene compromessa l’aggressore ha facile accesso a tutti i componenti.
Non si hanno per ora notizie di siti malevoli che possano sfruttare la falla di Android e, vista la scarsa diffusione di questo terminale, difficilmente i produttori di malware si concentreranno su questo fronte. A breve Google dovrebbe inoltre tappare definitivamente la falla che, per la cronaca, è stata segnalata a Mountain View due giorni prima della commercializzazione del G1. Ovvero: T-Mobile e Google hanno messo in vendita un telefono che già sapevano bacato.