Scoperta e risolta la nuova vulnerabilità di Android chiamata Fake ID

30 Luglio 2014 34

Mi piace Tweet Flipboard Commenta

Bluebox, la famosa società dedicata alla ricerca di minacce alla sicurezza informatica, ha annunciato la scoperta di un'importante falla nella verifica dei certificati delle applicazioni Android. Tale falla ha preso il nome di Fake ID e consente ad applicazioni malevole di sfruttare il nome di certificati ritenuti attendibili dal sistema operativo, in modo da installare software non certificato e in grado di accedere alle più svariate informazioni presenti sul proprio dispositivo.

Tuttavia, se in questo momento state temendo per i vostri dati, potete tirare un sospiro di sollievo, dal momento che Google ha prontamente aggiornato sia il Play Store che la funzionalità Verifica della App presente su Android. In aggiunta, Google ha già distribuito una patch a tutti gli OEM e a AOSP, in modo da poterla implementare nei prossimi aggiornamenti software. Per il momento, tutte le applicazioni del Play Store sono state analizzate e non ci sono tracce relative al tentativo da alcune di esse di sfruttare la falla presente. Tutto è bene quel che finisce bene insomma!

We appreciate Bluebox responsibly reporting this vulnerability to us; third party research is one of the ways Android is made stronger for users. After receiving word of this vulnerability, we quickly issued a patch that was distributed to Android partners, as well as to AOSP. Google Play and Verify Apps have also been enhanced to protect users from this issue. At this time, we have scanned all applications submitted to Google Play as well as those Google has reviewed from outside of Google Play and we have seen no evidence of attempted exploitation of this vulnerability.”

Piccolo e super potente? Apple iPhone 14 Pro, compralo al miglior prezzo da eBay a 978 euro.
Gabriele CongiuVIA

34

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
tttt01 Ago 2014 @ 08:28

io detto legge, tu taci

Ferdix31 Lug 2014 @ 10:36

Tendenzialmente chi installa app fuori dal play store sa cosa sta facendo. Non me la vedo mia madre ad installare app prese da xda o da qualche sito di app craccate

niomix30 Lug 2014 @ 05:48

Intendevi forse come scrivo ? io con la tastiera, tu che fai detti ?

tttt30 Lug 2014 @ 02:55

ma come parli stupido

optimus8130 Lug 2014 @ 02:19

iOS uber alles (cit. Indovinate di chi ?)

Alex Gombi30 Lug 2014 @ 01:51

Commento intelligente ;)

niomix30 Lug 2014 @ 01:03

Quasi era retorico...

niomix30 Lug 2014 @ 01:02

o semplicemente essere educati.... la security è soprattutto awareness !

tttt30 Lug 2014 @ 01:00

cosa dici, stupido

Monopalla30 Lug 2014 @ 12:58

non si è mai tranquilli online

niomix30 Lug 2014 @ 12:58

E' questo che l'articolo spiega male.
Hanno aggiornato il play store:SI
E' già attivo: SI
Hanno creato una fix per il servizio di verifica delle app: SI
E' già stata distibuita: SI, ma solo su device android nativi (es nexus), per gli altri che hanno OS brandizzato o custome vedi es i samsung sta a samsung recepire la fix e distribuirla.
Quindi una piccola parte dei device è protetta dall'installazione da market alternativi.
La vera domanda dovrebbe essere ma i market android non play store la hanno recepita ? se no quando ?

niomix30 Lug 2014 @ 12:49

Concordo.. ma direi "quasi" tranquilli...

Monopalla30 Lug 2014 @ 12:48

basta non installare app strane che fanno le pernacchie per essere totalmente al sicuro, scaricate solo da playstore e amazon al limite, che virus ci volete trovare?, poi faccio un esempio banale, io so usare internet, mio fratello è una capra, io sempre tutto perfettamente funzionante quando esploro, mio fratello, barre di navigazione strane, autoinstallatosi chissà come e finestre che si aprono a destra e manca e navigazione lenta, io gli dico sempre di non avventurarsi, se non sa bene quello che fà, stessa cosa per il telefono, non installate roba strana soprattutto da siti strani, e vivrete tranquilli.

niomix30 Lug 2014 @ 12:43

Non concordo con il commento.
Android è la piattaforma più soggetta a malware, e questo è un dato di fatto.
La tua esperienza soggettiva non fa statistica.
Le app succhia soldi sono un'altro argomento.
Non condivido invece la conclusione dell'articolo, il fatto che google abbia scritto una fix non significa che il problema sia risolto, ma al limite limitata l'esposizione al rischio, controllando le app sul play store.
Rimangono le fix da distribuire lato client.

niomix30 Lug 2014 @ 12:39

Si questo significa che il playstore verificherà se il certificato con cui è firmata la app è valido.... Il problema però persiste lato device se non viene aggiornato, limitando si il rischio ma non chiudendo la falla a chi installa app da fonti insicure.

sperem30 Lug 2014 @ 11:53

E quindi? La falla è stata sistemata nel play storie quindi sei appost.

E poi dall'anno prossimo ci sarà android silver cosi da sistemare meglio la frammentazione

SteDS30 Lug 2014 @ 11:50

Bravo, spendi i tuoi 929 euro per il tuo sciccosissimo smartphone così ti prendi malware più eleganti (traquillo che ci sono anche lì, magari nemmeno te ne sei accorto).

SteDS30 Lug 2014 @ 11:46

Solito, aria fritta, o per dirlo alla francese, stron*ate.
L'80% dei possessori di smartphone usano android, considerati tali numeri virus e malware sono relativamente poco diffusi su questo sistema. Personalmente non conosco persona che abbia preso virus o malware utilizzando android. Poi ovvio che di ignoranti che installano porcherie ce ne sono, il problema però riguarda TUTTi i sistemi, eh già anche iOS. E per favore non dite stupidaggini, nell'App Store di apps ingannevoli e succhiasoldi ce ne sono a vagonate.

Ferdix30 Lug 2014 @ 11:09

Ormai la maggior parte delle falle vengono corrette tramite play Service....quindi sono per tutti

Ferdix30 Lug 2014 @ 11:06

Ma leggi gli articoli a metà? Prima di commentare leggi bene....eviteresti figure.

"Google ha prontamente aggiornato sia il Play Store che la funzionalità Verifica della App presente su Android"

sfdgsdgf30 Lug 2014 @ 11:04

il mio telefono da 150 euro ha fatto 15 aggiornamenti per patch di sicurezza in 2 anni e SOLO UN UPDATE SERIO da 4.0.3 a 4.1.2...

lg

sfdgsdgf30 Lug 2014 @ 11:03

gia, e questa non è colpa di android, se le varie marche non aggiornano i telefoni :/

Ferdix30 Lug 2014 @ 11:02

Mi sa che hai letto male. La pach è stata inserita già con l'aggiornamento del play Store, quindi anche i telefoni vecchi sono coperti. In sostanza per NON riceverla devi eliminare il ps, togliere la spunta nel menù sviluppatori su verifica app e non accettare aggiornamenti dagli oem.
Beh....solo telefoni cinesi senza ps e senza supporto potrebbero essere a rischio

Simone Malacrida30 Lug 2014 @ 10:49

Non dico gli altri utenti... ma io credo che chiunque non usi Rom Custom (motivi vari... dai device azzoppati alle feature mancanti, etc..) e usa un dispositivo non più supportato (escludendo vecchiumi) come inevitabilmente accade ogni 1-2 anni
e quindi niente nuove rom Stock da Samsung/Lg/HTC sia destinato a rimanere con potenziali falle di sicurezza.

PS: uso il *ahimè* non più supportato S3 i9300

Marcomanni30 Lug 2014 @ 10:47

tutto chiaro, sopratutto il punto dell'articolo in cui google ha dato gli strumenti un po' a tutti per parchare la cosa, e mi sono limitato a commentare quella cosa.

Marcomanni30 Lug 2014 @ 10:46

No, credo di essere stato obiettivo. Dovesse mai uscire un 4.4.5 che implementa la batch di CUI PARLA L'ARTICOLO E NON E' UNA MIA INVENZIONE e, invece quasi sicuramente, android L, quelle due versioni di os tra un anno staranno massimo sul 10 per cento (e credo di esserci andato fin troppo largo visto che se dovesse essere 3 per cento non mi lamenterei) dei device con android in circolazione.

sfdgsdgf30 Lug 2014 @ 10:43

va bene, sparate un altra volta su android...
tanto non mi convincerete mai a passare a windows phone o schifezze varie :D

Simone Malacrida30 Lug 2014 @ 10:34

Nell'articolo parlano di Patch date agli OEM ed AOSP....
parliamo di chi non usa Rom Custom (e quindi AOSP) e si è "fossilizzato" su le rom STOCK piuttosto che vedersi il dispositivo Azzoppato (feature mancanti, male implementate (Grazie samsung per la mancanza di sorgenti, visto che ho S3 i9300)) ; Patch che non arriverà mai sulle ROM Stock/OEM di telefoni vecchi (non i vecchiumi... gli ultimi modelli abbandonati come i9300 e similari (End of Support; EoL))

sperem30 Lug 2014 @ 10:23

Ti piace trollare?

Nibbler30 Lug 2014 @ 10:22

quindi le persone intelligenti non leggono gli articoli... interessante...

Eros Nardi30 Lug 2014 @ 10:19

Diciamo che quindi oggi il 100% dei dispositivi che non hanno i play services e utilizzano esclusivamente market alternativi e fonti non ufficiali sono a rischio, in pratica lo 0.qualcosa % dei dispositivi totali tra l'altro in possesso da persone che odiano google quindi probabilmente odiano che le sue patch contro i bachi

pierrr30 Lug 2014 @ 10:17

"Google ha prontamente aggiornato sia il Play Store che la funzionalità Verifica della App presente su Android"

Cosa non ti è chiaro?

Ora il 100% dei device che hanno aggiornato paly store e verifica app sono al sicuro!

tttt30 Lug 2014 @ 10:17

il 100% di quelli posseduti da persone intelligenti che flashano una rom custom.
gli stupidi possono morire

Marcomanni30 Lug 2014 @ 10:10

"In aggiunta, Google ha già distribuito unapatch a tutti gli OEM e a AOSP"
Quindi tra un anno il 10 per cento dei device sarà al sicuro.

Recensione Samsung Galaxy Tab S9 Ultra 5G: un ulteriore passo in avanti! | VIDEO

Riprova Xiaomi 13 Pro: 7 mesi e tante foto dopo, è sempre più convincente | VIDEO

Bomba Galaxy S23 Ultra: 12/512GB a 899€, 8/256 a 799€ o con Tablet Gratis

Un mese con Samsung Galaxy Z Fold 5: tutto gira intorno al software | Recensione