È merito di un gruppo di ricercatori italiani se è stata individuata e corretta una seria vulnerabilità presente in tutte le versioni di Android. Il risultato è il frutto di una collaborazione tra ricercatori
che operano in diversi atenei e centri di ricerca italiani: Alessandro Armando, responsabile dell'Unità di Ricerca "Security & Trust" della Fondazione Bruno Kessler di Trento e coordinatore del Laboratorio di Intelligenza Artificiale del DIST all'Università di Genova, Alessio Merlo (Università
Telematica E-Campus), Mauro Migliardi coordinatore del gruppo Green, Energy Aware Security dell'Università di Padova) e Luca Verderame (neo-laureato in Ingegneria Informatica dell'Università di Genova).
Merito dei ricercatori italiani se ora Android non è più vittima di una pericolosa vulnerabilità
Il team di ricercatori ha segnalato la vulnerabilità a Google e al "Security Team" di Android, fornendo una dettagliata analisi dei rischi relativi. Ha quindi progettato una soluzione che è stata verificata e considerata efficace dal Security Team di Android, che quindi la adotterà in uno dei prossimi aggiornamenti del sistema operativo.
Se non fosse stata neutralizzata, la vulnerabilità
scoperta dal team italiano avrebbe permesso a un malware di saturare le risorse fisiche del dispositivo, portando al blocco completo sia degli smartphone sia dei tablet PC con il sistema operativo Android. Un problema particolarmente insidioso poiché l'applicazione malevola in questione non richiederebbe alcuna autorizzazione in fase di installazione e tenderebbe quindi ad apparire innocua all'utente.
La vulnerabilità di Android, secondo i ricercatori, si basa su una falla nel controllo della comunicazione tra applicazioni e componenti vitali del sistema (il socket Zygote), che viene messo in crisi esaurendo sistematicamente le risorse di memoria del dispositivo mediante la generazione di un numero arbitrariamente grande di processi.
Il principio fondamentale della sicurezza di Android è infatti la totale separazione tra le applicazioni (sandboxing) che garantisce che un'app non possa inficiare in alcun modo il funzionamento delle altre. La scoperta dei ricercatori italiani dimostra come questa separazione sia violata nei sistemi correnti, ma sarà nuovamente garantita grazie alla soluzione proposta e rimasta segreta.