ottobre 27, 2008 Nessun commento

L’Android con la falla

Importante notizia che riguarda Android, l’ormai famoso sistema operativo open sources per il settore mobile sembra soffrire di una prima falla di sicurezza.

Tale vulnerabilità è stata scoperta da Charles A. Miller ormai famoso per essersi intrufolato in un MacBook AIR in occasione del contest di sicurezza organizzato dal CanSecWest dove veniva richiesto ai partecipanti di violare tre macchine equipaggiate con i sistemi operativi più famosi, GNU/Linux, MacOSX e Windows.

Lo stesso Miller ha pensato bene di testare la sicurezza del nuovo progetto nato in casa Google ed i risultati non sono tardati ad arrivare, la falla scoperta dal bug hunter è stata scovata all’interno del browser dell’os il quale permette di eseguire codice malevolo da remoto dopo che l’utente abbia visitato un particolare indirizzo internet facente capo ad una pagina web appositamente strutturata.

Quanto scoperto da Miller è stato subito corretto da Google che insieme alla collaborazione di AT&T sta sviluppando una patch per i sistemi immessi sul mercato e già nelle mani degli acquirenti.

Per la verità la vicenda, se pur di ordinari amministrazione, ha scatenato un polverone vista la decisione del cacciatore di bug di informare Google e rendere il fatto pubblico nello stesso tempo.

Solitamente un codice d’onore non scritto impegna le parti al reciproco rispetto, quindi la comunicazione da parte dello scopritore del problema all’azienda responsabile va fatta in tempi utili per permettere alla stessa di improntare una soluzione utile e solo dopo che questa sia stata applicata con successo ci si può concedere alcuni attimi di gloria attraverso la divulgazione delle informazioni raccolte.

Miller in questo caso non ha gestito la cosa in termini canonici e si è concesso il privilegio di informare stampa di settore ed azienda nello spazio di poche ore una dall’altra, ovviamente estremo malcontento è stato manifestato dalla stessa Google che si è sentita offesa.

Personalmente ritengo giusto seguire questo codice di condotta non scritto ma questa volta non capisco proprio dove sia il problema visto che Miller non ha fornito nessun dettaglio ma si è solo limitato a dire che aveva scoperto una falla di sicurezza senza per altro scendere in dettagli che avrebbero potuto favorire le attività poco legali di qualcuno in ascolto.

Riflettendoci bene posso dire invece che in questo modo, ossia segnalando il problema senza per questo rendere pubblico alcun dettaglio, il cacciatore di bug è riuscito nell’intento che IMHO si era prefissato fin dall’inizio e cioè costringere Google ad operare nel più breve tempo possibile alla riparazione dell’errore onde evitare che orde di BlackHat si gettassero sul codice di Android alla ricerca della falla da sfruttare per fini illeciti.

Link

Ciao a tutti.

Condividi questo post:
  • del.icio.us
  • Facebook
  • Google
  • oknotizie
  • StumbleUpon
  • Tumblr
  • TwitThis
  • Digg
  • diggita
  • MySpace
  • Reddit
  • Technorati
  • ghenghe
  • tuttoblog
  • Wikio IT
  • Friendfeed


Puoi Lasciare un commento o Sottoscriverti ai commenti RSS o Usufruire del Trackback.

Lascia un commento

Rispetta le regole del blog. La tua e-mail non verrà pubblicata.

Articoli recenti

Blogroll