Mentre parzialmente rientra l’allarme su un’applicazione troppo impicciona, da Lookout Mobile Security arriva l’allarme sulle vulnerabilità di Android e sulla facilità con cui un applicazione non autorizzata potrebbe usare delle falle nel kernel Linux per ottenere i privilegi di root.
A mettere tutte le carte in tavola, la colpa è solo fino a un certo punto attribuibile al kernel Linux (non possiamo chiamarlo veramente così, ma va bene lo stesso), visto che vulnerabilità come la CVE-2009 1185 sono state individuate e “curate” già da tempo nel kernel “originale” mentre sono ancora presenti nel kernel montato su Android.
Fortunatamente queste falle non sono state ancora sfruttate per bucare il sistema e anche dopo competizioni come il Pwn2Own Android è uscito illeso.
A dar ragione a Lookout, secondo cui la fama di indistruttibilità di Android è immeritata, ci sono i vari hack per ottenere i privilegi di root, metodi diffusi e ben documentati per la maggior parte dei telefoni Android. Il passo dall’hack allo spyware è breve e qualche aggiornamento in più non farebbe male. Basterebbe restare un po’ più aderenti al kernel “upstream”, dove bachi e falle sono turate a tempo di record, a patto di non tradurre ogni update in interminabili download di centinaia e centinaia di mega, come è invece abitudine presso certi concorrenti.
devono mettere un tool di aggiornamento automatico e semplice come quello degli os da pc
altrimenti l’utente non aggiornerà mai
ed è una cosa necessaria , visto che sono dei piccoli computer con accesso alla rete
hanno bisogno di traformare android in una e vera propria distro
ma tremo cmq alle porcate delle personalizzazioni dei produttori
di ghostdog - 2 agosto 2010 - 15:19
Una domanda: ma se già nell’articolo si dice che le falle, che pure ci sono, nel kernel in upstream vengono corrette a tempo di record, perché un titolo sensazionalistico del genere?
Si butta inutilmente discredito, si fa disinformazione e si apparecchia il flame ai trollacci urlanti.
Ho capito il senso dell’articolo è proprio per questo il “?” del titolo, imho, andava messo a destra, non in mezzo.
di aytin - 2 agosto 2010 - 16:01
In effetti il titolo è fuorviante. Se Android usa una versione vecchia e non corretta di Linux, non è che è colpa di Linux… è colpa di Android! (cioè di Google).
di guiodic - 2 agosto 2010 - 18:03
Abbiamo scoperto che il software non aggiornato può essere pericoloso per la sicurezza. Chi l’avrebbe mai detto.
di abba - 2 agosto 2010 - 18:34
Metodi documentati per ottenere i privilegi di root ce ne sono per TUTTI i sistemi operativi /// firmware, insomma è ovvio che il modo c’è sempre, bisogna vedere poi quanti di questi metodi sfruttano errori di programmazione (di ogni genere) e quanti invece funzionano solo perchè è l’utente a farli funzionare. (ovvio che su linux/osx/bsd i malwares ci sono, questo è solo un esempio ovviamente, ma chiaro, non tutti si installano come su windows, il più delle volte sono trojans che l’utente ingenuo installa di sua volontà)
Poi vabbè Lookout : Android = Intego : OSx loro devono vendere quindi direbbero di tutto.
di M - 3 agosto 2010 - 02:10
abbiamo capito che vi piace di più il Mac, ma almeno evitate di fare questi posts..
di deepcosco - 3 agosto 2010 - 12:06
concordo sul fatto che il titolo sia molto fuorviante.
Dovrebbe essere: “Android vulnerabile? Aggiornino il kernel!”
di mimmozzo - 3 agosto 2010 - 16:46
Apt anche su android e si risolve subito il problema.
di Jak696 - 3 agosto 2010 - 18:22
La questione fondamentale qui secondo me è questa: Il kernel di Android ormai è praticamente un fork del Linux originale (addirittura ci sono problemi di incompatibilità dei driver, non so se mi spiego).
Chiaramente se si sono staccati dal kernel originale i bug e le vulnerabilità non si risolvono per magia anche su Androd. Sicuramente lavorando direttamente upstrem avrebbero meno problemi.
Di sicuro il titolo è idiota ed il kernel Linux c’entra poco.
di Aldo "xoen" Giambelluca - 3 agosto 2010 - 20:21
Per usare certi hack kernel bisogna oltrepassare vari livelli di protezione superiore, per questo Android è immune se non per titolo di una maggiore sicurezza di base. Sicurezza di base colmata già in aggiornamenti del kernel Linux che non farebbero male visto che Android essendo un adattamento queste protezioni superiori sono minime.
Quando si parla di “Architettura di sicurezza” (cosa sconosciuta per un utente Windows tanto che loro lo pensano che non esiste) si deve pensare ad un fortino con varie cinte murarie e stratagemmi e trabocchetti persino per non far oltrepassare le orde nemiche.
Ecco perché i malware per BDS/Linux sono solo “esercizi si stile” ma INUTILIZZABILI in realtà come accade in Windows.
Ciao
di ziomaul - 4 agosto 2010 - 00:13
@6
Non dire sciocchezze…In ogni caso, se a te non piace hai solo da rivolgerti altrove.
Per quanto riguarda il titolo….Lì è una decisione della redazione, al più una codecisiono redazione-autore.
L’articolo?
Se in Google-Android ci sono falle, la responsabilità èdei suoi programmatori. Non di Linux & co.
di Ratamusa - 5 agosto 2010 - 09:32