OH MIO DIO! Hai sentito? La metà di tutti i dispositivi Android ha vulnerabilità senza patch e sono là fuori, condividendo la nostra stessa aria! L'orrore!
Questa è la sensazione che proverai se oggi frughi su Internet e leggi un blog o due, dove la gente parla di uno studio di Sicurezza a due, azienda che vende software di autenticazione da utilizzare sugli smartphone. Hanno persino una piccola app elegante che puoi installare per controllare il tuo dispositivo Android per vedere se è vulnerabile. L'app non è su Google Play, ma è collegata in fondo al post se vuoi verificarla tu stesso.
Sembra spaventoso, vero? Questo è il 50 percento dei telefoni Android, in tutto il mondo, tutti senza patch e maturi per una sorta di hacking online deve essere cattivo. È la fine per Google e Android e siamo tutti fregati.
Appena. Fermare.
Ecco cosa sta succedendo. L'app che puoi scaricare esegue e scansiona il tuo dispositivo per vedere se uno degli otto è popolare buchi di exploit root sono ancora aperti. Queste sono cose che sono state corrette nelle versioni più recenti di Android o nelle versioni più recenti del kernel Linux. Se il tuo telefono o tablet non ha patch, riceverai un avviso al riguardo. È tutto al di sopra delle regole e questi exploit probabilmente non sono corretti nel 50 percento dei telefoni Android.
Ma per quanto riguarda le altre migliaia di exploit, o quelli che non sono ancora stati resi pubblici? Non puoi semplicemente usare gli otto facili e chiamarlo un giorno. Il mio Galaxy Nexus è al sicuro, secondo questa app, ma è lì con un bootloader sbloccato, rootato e pronto a far accadere cose brutte. Non ottieni la storia completa da questa app o dai blog che ne parlano.
Ma possiamo aiutare.
Ogni pezzo di elettronica intelligente che possiedi è privo di patch contro le vulnerabilità. Ognuno. Probabilmente anche più di una vulnerabilità. Ciò significa che il tuo telefono Android o il tuo i phone, o il tuo laptop o persino il tuo lettore DVD. Non c'è modo di creare software che non possa essere sfruttato, e lo vediamo ogni giorno. La crittografia AES a 256 bit su un bootloader significa che dovrai trovare un altro buco e sfruttarlo in un altro modo. Ci sono persone là fuori più intelligenti di te e me che troveranno un modo per entrare in qualsiasi cosa con un'interfaccia utente purché sia abbastanza popolare da preoccuparsene.
Tuttavia, ciò non significa che i produttori di dispositivi ottengano un passaggio. Se Google può proteggere il Galaxy Nexus da exploit popolari, ciò significa che anche Samsung, HTC, Motorola e gli altri possono farlo. Se desideri fornire un dispositivo con il tuo software su di esso, sei responsabile di mantenere tale software per la durata ragionevole di tale dispositivo. Per noi, ciò significa almeno per il periodo di garanzia o per la durata di qualsiasi contratto che potremmo aver firmato con un vettore. Se non puoi farlo, non hai affari mettendo il tuo software personalizzato su un dispositivo.
Ma per questo attuale round di odio per Android, sentiti libero di ridacchiare e annuire silenziosamente. Succede FUD, ma il tuo telefono è sicuro come il tuo decoder via cavo e, a meno che tu non stia facendo qualcosa che probabilmente non dovresti essere, non avrai problemi.
Fonte: Duo Security; attraverso BGR