Android Lollipop, un bug del lockscreen causa una nuova vulnerabilità

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Nonostante non sia passato poi così tanto tempo dall’ultima grande vulnerabilità che ha lasciato scosso e più dubbioso di prima il mondo Android riguardo la sicurezza del proprio sistema operativo (e naturalmente stiamo parlando di Stagefright), ecco che arriva a poca distanza un altro, pericoloso allarme: stando a quanto riportano le prime informazioni, Android Lollipop sarebbe infetto da un bug che minerebbe la sicurezza del lockscreen alla sua radice.

Alcuni hacker sono infatti riusciti a mandare completamente in crash la schermata di blocco semplicemente digitando, al posto della password, una serie di caratteri che, sfruttando un errore di programmazione finora rimasto nascosto o ignorato dai più, permettere di aggirare il lockscreen e di accedere impunemente ai dati sensibili archiviati all’interno dello smartphone.

Ne è stato realizzato un video sul funzionamento, che vi invitiamo a visualizzare su YouTube cliccando QUI.

Siete pronti a scoprire la nuova vulnerabilità di Android Lollipop?

La vulnerabilità

Così come abbiamo già accennato, la vulnerabilità è data da un bug di Android Lollipop che impedisce al lockscreen di sostenere la digitazione e l’immissione di una stringa di caratteri completamente casuali (nonostante sia comprovato che funzioni con una serie ripetuta di cancelletti), causandone il crash e l’accesso immediatamente successivo ai contenuti del telefono.

Locked Smartphone
Attenzione alla vulnerabilità!

Nonostante si tratti di un bug piuttosto comune su Android ed iOS, ma questa volta parrebbe un problema più serio, anche se i rischi sono comunque più contenuti rispetto alle minacce passate (e nel prossimo paragrafo vi spieghiamo anche perchè).

Come funziona la vulnerabilità

Nonostante all’apparenza possa sembrare un’operazione semplice e veloce, l’applicazione della vulnerabilità richiede una certa dose di pazienza, nonchè alcuni prerequisiti che fortunatamente allontanano il pericolo da molti device.

Android bug lockscreen 4
Copiate/incollate più volte la stringa di caratteri / Istantanea dal video

Inizialmente infatti bisogna verificare che lo smartphone interessato permetta di copiare/incollare i caratteri all’interno della schermata dedicata alla chiamata d’emergenza: sono molti infatti i produttori e le versioni di Android Lollipop rilasciate che impediscono tale funzionalità, permettendo sorprendentemente di aggirare il bug. Qualora sia il caso del telefono preso in considerazione, basterà copiare ed incollare più volte (almeno sette) una stringa di caratteri casuali; dopodichè, accedendo alla fotocamera, bisognerà tappare sulle Impostazioni per accedere alla schermata di digitazione della password alfanumerica.

Android bug lockscreen 3
Dopodichè digitate la stringa al posto della password / Istantanea dal video

Copiate ed incollate più volte la stringa precedentemente salvata negli appunti, dopodichè confermate la digitazione della password; a questo punto occorrerà attendere circa dieci minuti (durante i quali la fotocamera sarà perfettamente utilizzabile) perchè il bug compia il suo (sporco, aggiungiamo noi) lavoro e mandi in crash il lockscreen, permettendo di accedere direttamente ai contenuti dello smartphone in perfetta tranquillità.

Come difendersi

Fortunatamente il numero di dispositivi affetti da questa vulnerabilità, anche se ampio, può significativamente diminuire grazie ad alcuni semplici accorgimenti.

Android bug lockscreen 2
I codici alfanumerici non sono così sicuri / Crediti a BBC.co.uk

Primariamente, è possibile che il produttore o l’aggiornamento di Android Lollipop ricevuto non permettano il copia/incolla nè nella schermata della chiamata d’emergenza, nè in quella destinata alla digitazione della password; in questo caso potete ritenervi al sicuro. Secondariamente, si può aggirare il problema impostando un codice di sblocco differente dalla password alfanumerica (potete leggere QUI, nella nostra guida dedicata, quali sono le migliori tipologie di lockscreen presenti nativamente su Android), come un PIN. Inoltre l’hacker deve accedere fisicamente al dispositivo per poter sfruttare la vulnerabilità, riducendo il rischio a pochi casi isolati.

Ciononostante, Google ha avviato il rilascio di una patch denominata “LMY48M” di supporto per risolvere il bug; l’aggiornamento ad Android 5.1.1. dovrebbe arrivare ai Nexus 4,5,6,7, 8,9 e 10, ma ancora nulla è stato visto all’orizzonte. Purtroppo infatti aggiornamenti di questo tipo richiedono mesi per venir distribuiti ufficialmente, quindi riteniamo che, qualora venissero presi provvedimenti, le case di produzione non saranno tanto solerti quanto nel caso di Stagefright.

Non solo bug, Android è affetto da un malware che sta contagiando smartphone Android ed iOS: scopri QUI come difendersi e dove si trova il nuovo ransomware!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sulla nostra pagina Google Plus, o, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

[wysija_form id=”3″]

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//