Telefoni Android di quattro marchi insicuri nel firmware

Ancora inscatolati, ancora mai collegati a Internet, e già carichi di problemi. Una decina di modelli di smartphone Android di produttori come Asus, Essential, Lg e Zte si è rivelata vulnerabile a potenziali attacchi, alla luce di uno studio condotto da Kryptowire e finanziato niente meno che Department of Homeland Security. Il governo di Donald Trump, al pari del precedente, sta presentando particolare attenzione al problema della cybersicurezza, come dimostrano i severi provvedimenti presi nei confronti di Zte. La cinese è una della società citate nello studio (presentato alla conferenza Black Hat), ma non è la sola: oltre ad Asus ed Lg, c'è anche Essential, l'azienda dell'ex pezzo grosso di Google Andy Rubin.

Il problema, infatti, risiede in elemento comune a questi diversi marchi: il sistema operativo. Android, per sua stessa natura, è una piattaforma aperta e relativamente modificabile. Questa caratteristica permette agli Oem di personalizzare l'interfaccia e altri elementi, ma presta anche il fianco a potenziali attacchi. “Nella supply chain”, ha detto a Wired l'amministratore delegato di Kryptowire, Angelos Stavrou, “molti vogliono poter aggiungere le proprie applicazioni, personlizzare e aggiungere codice. Questo incrementa la superficie di attacco e le probabilità di errori nel software”.

Le aggiunte e modifiche apportate dagli Oem, secondo l'analisi di Kryptowire, in questi dieci modeli di telefono creano rischi di vario tipo. Eventuali malintenzionati potrebbero, per esempio, spiare e modificare messaggi di testo, scattare fotografie o registrare video, e addirittura prendere possesso del dispositivo da remoto rendendolo inservibile.

Contattati da Wired, i produttori Oem hanno fatto sapere di essere a conoscenza del problema e al lavoro sulle patch. Ma non è chiaro quanto tempo possa richiedere la realizzazione e distribuzione degli aggiornamenti.