Android torna nuovamente al centro della bufera, questa volta non per bug imprevisti portati dall’ultimo aggiornamento alla versione 8.1 Oreo, bensì per un exploit particolarmente pericoloso quanto “invisibile”, in grado di registrare i contenuti mostrati sullo schermo del proprio device all’insaputa dell’utente.
Questa volta il “casus belli” è una funzionalità del celebre sistema operativo Google, particolarmente preferito da hacker e cracker in quanto molto più diffuso nel settore mobile delle alternative fornite dalla Mela o da altri producer. L’exploit è stato scoperto da MWR InfoSecurity ed è in grado di fare leva su un framework del tutto legittimo, ovvero MediaProjection, per registrare i contenuti video e all’occorrenza anche l’audio in playback sul dispositivo. L’errore fondamentale compiuto da Big G in questo caso è la possibilità di avviare determinate funzioni del framework senza permessi di root, cosa che invece avveniva con le versioni di Android precedenti Lollipop (5.0).
In questo modo, è possibile iniziare a registrare i contenuti video e audio semplicemente con un pop-up di sistema “fasullo”, che mostra all’utente un messaggio custom (spesso un alert di sistema) per iniziare a monitorare quanto sta succedendo sul display del dispositivo Android. Malgrado la vulnerabilità di sistema sia stata corretta nelle ultime versioni di Oreo, la maggioranza dei dispositivi rimane chiaramente vulnerabile, essendo Oreo stato rilasciato per una stretta minoranza di device (circa lo 0,3% del totale).
Il 77.5% dei dispositivi Android (versioni comprese da 5.0 Lollipop a 7.1.1 Nougat) rimane così esposto a questa minaccia: mentre si attendono conferme ufficiali da Google per il necessario bug fix, è caldamente consigliato ai developer di abilitare il parametro “FLAG_SECURE” nel Window Manager delle proprie applicazioni, in modo da non trarre l’utente in inganno costringendolo a effettuare dei tap su schermate che potrebbero avviare l’exploit.
