Android Per Smartphone e Tablet Pc: Ricercatori italiani bloccano la vulnerabilità
26 Marzo 2012Un gruppo di ricercatori italiani ha neutralizzato una seria vulnerabilità in Android, il diffuso sistema operativo open source per smartphone e tablet PC. La vulnerabilità avrebbe potuto essere facilmente sfruttata da applicazioni malevole, con l’effetto di rendere completamente inutilizzabili i dispositivi attualmente in commercio basati sul sistema operativo Android.
Un gruppo di ricercatori italiani ha individuato e neutralizzato una seria vulnerabilità presente in tutte le versioni di Android, il diffuso sistema operativo sviluppato da Google appositamente per gli smartphones ed i tablet PC. Questo importante risultato è il frutto di una collaborazione tra ricercatori che operano in diversi atenei e istituti di ricerca italiani: il Prof. Mauro Migliardi (coordinatore del gruppo Green, Energy Aware Security dell’Università di Padova), il Prof. Alessio Merlo (Università Telematica E-Campus), il Prof. Alessandro Armando (coordinatore del Laboratorio di Intelligenza Artificiale del DIST dell’Università di Genova e responsabile dell’Unita` di Ricerca “Security & Trust” della Fondazione Bruno Kessler a Trento) e l’Ing. Luca Verderame (neo-laureato in Ingegneria Informatica dell’Università di Genova).< ?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
Il team di ricercatori ha segnalato prontamente la vulnerabilità a Google e al Security Team di Android, fornendo una dettagliata analisi dei rischi relativi a tale vulnerabilità. Quindi ha progettato una soluzione al problema e l’ha inviata al Security Team di Android. L’efficacia della soluzione e’ stata verificata congiuntamente dal gruppo di ricercatori italiani e dal Security Team di Android e verrà adottata in uno dei prossimi aggiornamenti del sistemi operativo.
La vulnerabilità scoperta, se non fosse stata neutralizzata, avrebbe permesso ad una applicazione malevola di saturare le risorse fisiche del dispositivo, portando al blocco completo sia degli smartphones che dei tablet PC attualmente in commercio. Il problema risulta particolarmente insidioso poiché l’applicazione malevola non richiede alcuna autorizzazione in fase di installazione e tende quindi ad apparire innocua all’utente; inoltre, gli attuali sistemi di sicurezza e contromisure disponibili in Android non riconoscono tale vulnerabilità, ne’ gli attacchi che la sfruttano.
La vulnerabilità si basa su un difetto nel controllo della comunicazione tra applicazioni e componenti vitali di Android che permette di esaurire sistematicamente le risorse di memoria del dispositivo mediante la generazione di un numero arbitrariamente grande di processi. Il principio fondamentale della sicurezza di Android è infatti la totale separazione tra le applicazioni (sandboxing) che garantisce che una applicazione non possa inficiare in alcun modo il funzionamento delle altre. La scoperta dei ricercatori italiani dimostra come questa separazione sia violata nei sistemi correnti, ma sarà nuovamente garantita grazie alla soluzione proposta.