Microsoft scopre una nuova falla di sicurezza di Android che colpisce oltre 4 miliardi di download

Microsoft avverte gli utenti e gli sviluppatori di Android di una vulnerabilità rilevata in diverse app Android nel Google Play Store. Questa vulnerabilità interessa potenzialmente oltre 4 miliardi di installazioni in tutto il mondo, come annunciato in un recente rapporto.

Tra le app coinvolte, Microsoft ha rivelato due delle più utilizzate: WPS Office, con oltre 500 milioni di installazioni e File Manager di Xiaomi Inc., con oltre 1 miliardo di installazioni. Le due aziende sono state informate nel mese di febbraio e nel frattempo hanno risolto il problema.

Il rapporto rileva il possibile coinvolgimento di molte altre app per un totale di oltre 500 milioni di installazioni, ma nessuna viene specificamente nominata.

Questa violazione della sicurezza, denominata attacco “Dirty Stream”, è stata identificata in un componente del fornitore di contenuti che consente alle app di condividere informazioni. La vulnerabilità nel componente mette a rischio le app perché i malintenzionati possono prendere il controllo dell’app e accedere ai token degli utenti. Come spiegato dagli esperti Microsoft nell’annuncio del 1° maggio, le conseguenze possono variare e dipendono da come le applicazioni implementano il componente.

Google, in collaborazione con Microsoft, ha rivelato questa vulnerabilità e ha condiviso un rapporto sui rischi di sicurezza sulla piattaforma Android Studio per gli sviluppatori, fornendo ulteriori informazioni e consigli su come evitare future vulnerabilità e risolvere quelle attuali.

L’annuncio di Microsoft non solo funge da avvertimento per il miliardo di persone potenzialmente interessate, ma anche come invito ad altre grandi aziende tecnologiche e sviluppatori di app a collaborare per fornire una migliore sicurezza in tutto il settore. Nella nota Microsoft dichiara di non fornire soltanto indicazioni agli utenti e agli sviluppatori di app, ma di voler “illustrare l’importanza della collaborazione per migliorare la sicurezza di tutti”.

Il rapporto di Microsoft fornisce anche indicazioni per gli utenti Android, con il suggerimento principale di assicurarsi di aver installato le versioni più recenti delle app.

Condivide anche esempi pratici del problema utilizzando uno studio in cui viene coinvolto il File Manager di Xiaomi Inc. come riferimento. Spiega come un’app malintenzionata potrebbe comportarsi in scenari pericolosi: “Oltre ad avere pieno accesso allo storage esterno del dispositivo, l’applicazione richiede molte autorizzazioni, inclusa la capacità di installare altre applicazioni”.

Come conferma anche Forbes, gli utenti non possono far altro che rimanere informati, mantenere le loro app aggiornate e seguire le raccomandazioni di Microsoft: “Gli utenti dovrebbero installare solo applicazioni da fonti affidabili per evitare quelle potenzialmente dannose”.