Fake Id è una nuova pericolosa vulnerabilità scoperta dalla Bluebox, la stessa azienda che aveva scoperto la vulnerabilità divenuta nota come “Master Key”, che sfrutta un bug presente nella tecnologia utilizzata nel sistema Android per firmale le applicazioni pubblicate nel Play Store.
In sostanza esso permette ad un’app malevola di essere accreditata nel Play Store sfruttando i certificati di altre applicazioni, guadagnando così privilegi che ovviamente non le competono.
La risposta di Google è comunque stata immediata, pare che sia stata rilasciata subito una patch di sicurezza e sia il Play Store che la funzione di verifica delle app (impostazioni -> sicurezza -> verifica app) sono stati aggiornati e sono in grado di rilevare il bug.
Cosa fare per proteggersi ? Dopo l’immediato rilascio della patch correttiva da parte di Google, proteggersi dal bug Fake ID è semplicissimo. L’unica operazione necessaria è quella di attivare il sistema di verifica delle applicazioni nelle impostazioni del sistema operativo di Google.
Per farlo bisognerà avviare le Impostazioni, successivamente selezionare la sezione dedicata alla Sicurezza e poi attivare la voce Verifica App: in questo modo, ogni volta che si installerà un’applicazione, il sistema ne verificherà la provenienza ed effettuerà una veloce scansione per evitare la presenza di Fake ID.
Naturalmente il consiglio è sempre quello di munirsi di un buon antivirus per sistemi mobile e di scegliere le applicazioni con attenzione.
A seguire la dichiarazione ufficiale di Google, che ringrazia comunque Bluebox:
We appreciate Bluebox responsibly reporting this vulnerability to us; third party research is one of the ways Android is made stronger for users. After receiving word of this vulnerability, we quickly issued a patch that was distributed to Android partners, as well as to AOSP. Google Play and Verify Apps have also been enhanced to protect users from this issue. At this time, we have scanned all applications submitted to Google Play as well as those Google has reviewed from outside of Google Play and we have seen no evidence of attempted exploitation of this vulnerability.”
No Comments