Attraverso una nuova falla del sistema Android è possibile accedere ai dati degli utenti senza che questi abbiano concesso alcun permesso. Il gruppo di ricercatori californiani che ha rivelato il bug informa che la procedura illecita è molto semplice e alla portata di tutti: sarebbe sufficiente utilizzare un'app scritta ad hoc per sfruttare la vulnerabilità delle altre.
Il primo passo dunque è spingere l'utente al download di un'applicazione compromessa (la storia ci insegna che non è una cosa particolarmente complicata) a quel punto l'attacco viene rivolto al sistema facendo perno sulla memoria condivisa. Il malware riesce facilmente a superare il sistema di filtraggio Android e secondo i ricercatori potrebbe tranquillamente affliggere anche altri sistemi operativi come Windows Phone e iOS.
Tra tutte le applicazioni testate quella maggiormente vulnerabile è stata Gmail, violata con una percentuale di successo pari al 92%. Il fatto è particolarmente grave visto che l'accesso al programma di posta elettronica in molti casi potrebbe significare accesso a tutti gli account. Vulnerabili anche molte applicazioni bancarie che hanno ceduto i dati di accesso al conto corrente. Amazon è invece il programma più "resistente" tra quelli testati, con una percentuale di penetrazione pari al 48%.
"Per definizione, Android permette di impossessarsi o di manipolare le applicazioni. Ma bisogna farlo al momento giusto, affinché l'utente non se ne accorga. Noi ci siamo riusciti, ed è questo che rende unico il nostro attacco" afferma Zhiyun Qian, assistente presso l'Università della California.
L'attacco sfrutta la capacità delle applicazioni di interagire tra loro, apparentemente una caratteristica positiva. Sarà quindi particolarmente complicato trovare una soluzione al problema evitando di compromettere il funzionamento del sistema stesso.
L'attacco informatico è stato riprodotto solamente in laboratorio - per ora, speriamo quindi che i responsabili della sicurezza di Android sappiano porre rimedio alla falla prima che le simulazioni si trasformino in truffe reali.