Check Point ha recentemente individuato una vulnerabilità critica che colpisce milioni di dispositivi Android inclusi quelli realizzati dai principali produttori, quali LG, Samsung, HTC e ZTE. Il team ha reso noto la notizia durante una sessione specifica all’interno della conferenza Black Hat USA 2015, a Las Vegas, Nevada.
“Certifi-gate” è una vulnerabilità che consente ad alcune applicazioni di ottenere illecitamente privilegi di accesso che in genere vengono utilizzati dalle applicazioni di supporto remoto che sono pre-installate (o personalmente installate) sul dispositivo. Gli hacker possono sfruttare Certifi-gate per avere accesso illimitato a un dispositivo, con la possibilità di rubare dati personali, di localizzare il dispositivo, accendere il microfono e registrare una conversazione, e molto ancora.
Android non fornisce alcun modo per revocare privilegi di accesso. Senza una patch specifica, né altre possibilità di contrastare la minaccia, questi dispositivi sono a rischio non appena vengono attivati. Check Point ha già segnalato Certifi-gate a tutti i produttori coinvolti, che hanno iniziato a rilasciare aggiornamenti. Non c’è modo di correggere questa vulnerabilità, si può solo ricorrere a un aggiornamento quando viene installato un nuovo software – un procedimento notoriamente lento. Inoltre, Android non fornisce alcuna soluzione per revocare i certificati utilizzati per accedere ai plugin vulnerabili.
“Ogni giorno in tutto il mondo la gente si affida a dispositivi mobili per gestire aspetti importanti della propria vita: accedono alle loro mail di lavoro, gestiscono il loro conto bancario e accedono ai loro dati sanitari,” ha dichiarato Dorit Dor, vice president of products di Check Point Software Technologies. “Il problema è che raramente la gente si sofferma a riflettere se i propri dati siano al sicuro o meno. Questa vulnerabilità può essere sfruttata molto facilmente e può causare la perdita e la diffusione di dati personali degli utenti. È arrivato il momento di prendere sul serio la sicurezza dei dispositivi mobili”.
Gli utenti Android possono controllare se il loro dispositivo è a rischio Certifi-gate scaricando l’app gratuita Check Point Certfi-gate scanner da Google Play.
