CVE-2016-5696, il bug Linux che mette a rischio circa 1,4 miliardi di dispositivi Android.


A quanto pare non c'è pace per gli utenti Android che, dopo QuadRooter, (le 4 vulnerabilità che minacciano oltre 900 milioni di dispositivi), adesso se la devono vedere con un nuovo bug. In pratica a darne annuncio sono stati in questi giorni gli esperti di sicurezza di Lookout, i quali hanno spiegato di aver fatto una scoperta abbastanza clamorosa in quanto questa vulnerabilità colpisce una fetta molto ampia degli utenti Android di tutto mondo. In sostanza si tratta di un bug relativo al kernel linux 3.6 e che risulta essere presente anche in Android dalla versione 4.4 KitKat in poi, (compresa la recentissima beta di Android Nougat); il che significa che tale falla colpisce circa l'80% di tutta l'utenza Android, (equivalenti a circa 1,4 miliardi di dispositivi). Ad ogni modo entrando un po' più nel dettaglio il bug in questione, noto con il nome in codice CVE-2016-5696, permette ad un malintenzionato di introdursi in una connessione non criptata e far eseguire del codice malevolo all'interno del despositivo, senza che l'utente se ne accorga. Al riguardo il sito Ars Technica ha riportato un esempio di come questo attacco potrebbe essere utilizzato nei confronti degli utenti Android: una volta intercettata una connessione non criptata con un qualsiasi servizio su Internet si può eseguire un popup fasullo che richiede un nuovo accesso ad un servizio generico, (e-mail, Social Network, PayPal, ecc…); insomma, quello che in gergo si chiama phishing. Per di più la stessa cosa potrebbe essere fatta anche all'interno del browser o tramite un client di posta; mentre se la connessione risulta essere criptata il malintenzionato potrebbe comunque interromperla. In ogni caso dal canto suo Google ha risposto ad una richiesta di commenti chiarendo che il bug in questione non riguarda solo Android, ma Linux in generale, e che i suoi ingegneri sono attualmente al lavoro per sistemarlo; anche se la questione non ha massima priorità. Si tratta di una decisone che molto probabilmente è dettata dal fatto che risulta difficile che il bug CVE-2016-5696 possa essere sfruttato su larga scala: ci vogliono circa 10 secondi per testare se 2 client sono connessi ed altri 45 secondi circa per inviare il codice malevolo nel traffico originale. Quindi, considerando che si deve conoscere, (o quanto meno prevedere), l'esistenza di una certa connessione ed il tempo necessario ad eseguirlo, è un attacco che solo gli utenti con profili più "sensibili", (ossia politica, governo, militari, ecc…), rischiano in modo concreto; in altre parole il pericolo per gli utenti Android sarebbe moderato e non critico o elevato, come in altri casi. Tuttavia andrebbe ricordato che in generale chi vuole rubare dati ha molto tempo libero, quindi, in attesa di una correzione in una delle prossime patch mensili di Google, bisognerebbe sempre far attenzione a siti o messaggi sospetti. Anche se c'è da dire che molti dispositivi potrebbero non ricevere mai alcuna patch in quanto ormai abbandonati dai rispettivi produttori; motivo per il quale, secondo alcuni, la soluzione per proteggersi da questa vulnerabilità sarebbe alquanto drastica: usare una VPN oppure connettersi solo a servizi e siti che utilizzano connessioni criptate.

Commenti