Bug nell’Android KeyStore: riguarda quasi 9 dispositivi su 10

Bug nell’Android KeyStore: riguarda quasi 9 dispositivi su 10

Un bug nel KeyStore di Android permette il furto di credenziali degli utenti, solo KitKat sarebbe immune alla falla: vediamo i dettagli.

La comunità informatica addetta alla ricerca in ambito di sicurezza, da sempre attiva e fervente, ha rilevato una pesante vulnerabilità che potrebbe coinvolgere l’86% dei dispositivi Android attualmente in circolazione: un attaccante potrebbe, mediante questa falla, ottenere credenziali di accesso riservate, incluse chiavi crittografiche per i servizi di banking oppure per VPN, potendo così sbloccare dispositivi protetti anche con autenticazione forte.

Tale vulnerabilità risiederebbe all’interno del KeyStore di Android, l’area delegata da Google per memorizzate chiavi critografiche e credenziali di accesso riservate, almeno stando al comunicato diffuso dalla IBM. Il furto di chiavi da parte di un attaccante è quindi possibile sfruttando un buffer overflow che interesserebbe anche adesso tutte le versioni di Android in circolazione ad esclusione della 4.4 (KitKat).

È stato inoltre sottolineato da Dan Wallach, docente universitario specializzato in sicurezza in ambito Android, che le banche che richiedono una password (o una OTP, meglio ancora) per confermare ogni singola operazione sono più sicure e meno esposte al bug delle altre, che invece rischiano di vedersi controllati da estranei account di ogni genere e, peggio ancora, poter eseguire operazioni a nostro nome. Inoltre, un utente malintenzionato dovrebbe essere in grado di generare autonomamente chiavi RSA, e verificarle in remoto sullo smartphone della vittima. Il filtro Bouncer, introdotto da Google Play per evitare che venga caricato nello store software malevolo o non verificato, risolve solo in parte il problema in quanto, per quel che ne sappiamo, è perfettamente aggirabile in questo caso. Gli utilizzatori di Android che fanno uso di app bancarie o che accedano a dati sensibili dovrebbero fare molta attenzione ad utilizzare questi software, e dovrebbero chiedere agli sviluppatori maggiori informazioni che possono variare caso per caso.

Fonte: ArsTechica


Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (News):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.