Pare difficile credere che il robottino di Android stia cospirando per fotterci, ma non basta più quel suo sguardo bonario a convincerci del contrario! Togliamoci il dente: è stato riscontrato che Android, nelle sue versioni (4.1.1, 4.1.2, 4.2.2, 4.3 e 4.4.2) sia affetto da un errore di progettazione che lo renderebbe capace di effettuare telefonate (e non solo) a nostra insaputa! La cosa era venuta alla luce in seguito ad uno studio effettuato da due baldi ricercatori, che avevano prontamente segnalato il malfunzionamento all’Android Security Team alla fine dello scorso anno. La notizia è stata però ufficializzata solo negli ultimi giorni e, come capirete, risulta preoccupante per moltissimi dispositivi che utilizzano ancora vecchie versioni del sistema operativo made in Google. Ma veniamo alla domanda fondamentale: come diavolo funziona?
Il bug è in pratica una finestra di programmazione aperta per diverse operazioni malevoli, tutte fondamentalmente legate al traffico telefonico. Basta l’installazione involontaria di un malware che sappia utilizzare questo bug (metti per esempio: un virus celato nel codice di una app apparentemente innocente) ed ecco che attraverso il bug si potrebbe, ad esempio, obbligare il telefono a chiamare una linea a pagamento in modo del tutto autonomo o, ancora, interrompere le telefonate in corso o manomettere il nostro traffico dati.
La lista delle opzioni possibili, tutte effettuabili utilizzando codici USSD, SS e MMI sfruttando il bug, è lunga e complessa e permette, purtroppo, anche di sfruttare il dispositivo a nostra insaputa per attivare e disattivare funzioni specifiche dello stesso dispositivo, o opzioni inerenti il nostro operatore come l’inoltro delle chiamate e persino il blocco della SIM. Il problema è che tutto può essere fatto a nostra insaputa, senza che ce ne si accorga, e senza che si debba accettare alcun vincolo di installazione. Basta essere incauti, beccarsi il virus, e qualsiasi criminale potrà dare libero sfogo alla sua fantasia informatica nei confronti del nostro dispositivo Android. I ricercatori, Marco Lux e Pedro Umbelino, hanno rivelato di aver scoperto il tutto semplicemente analizzando i codici open source delle suddette versioni del sistema in cui, pare, le seguenti tre istruzioni C++ genererebbero il bug:
ACTION_HANG_UP_ONGOING_CALL
ACTION_CALL_BACK_FROM_NOTIFICATION
ACTION_SEND_SMS_FROM_NOTIFICATION
Con la prima è possibile interrompere una telefonata in corso, con la seconda è possibile effettuare clandestinamente una telefonata, e con la terza, invece, si può creare ed inviare un SMS ad un qualsiasi numero, anche se in questo ultimo caso sarebbe necessario il consenso dell’utente. Google non si è ancora espressa in merito, e pare non ci sia particolare allarmismo per la vicenda (anche se, lo ricordiamo, è stata resa pubblica solo di recente).
Quel che possiamo consigliarvi è di non installare applicazioni la cui provenienza è incerta, in particolare di non scaricarle dalla rete, e di affidarvi piuttosto alle sole applicazioni certificate presenti sullo store. Inoltre, ovviamente, verificate di poter installare l’ultima versione aggiornata di Android e, nel caso non fosse possibile, tenetevi aggiornati tramite la pagina dedicata ai ricercatori, ove è già disponibile un ampio set di consigli, nonché un APK per scoprire se il proprio dispositivo è spacciato o no.
