Android come tutti sappiamo è un sistema operativo Open Source con una miriade di app di terze parti, sia provenienti dal Play Store sia sviluppate da altre persone e provenienti da altri store o direttamente come file APK.
Ovviamente questo tipo di approccio porta ad un controllo difficoltoso delle applicazioni con rischi sulla sicurezza non da poco conto e, rimanendo nella questione, oggi è stata scoperta una vulnerabilità per quanto riguarda proprio il Fake ID. Per Fake ID si intende un’applicazione dannosa che bypassa la normale sicurezza Android falsificando il proprio ID Secure in modo da avere accesso ai dati potenzialmente sensibili: credenziali utente, email, cronologia di pagamenti, ecc.
Come è possibile venire attaccati da questo Fake ID?
Semplicemente perché Android non riesce a verificare la validità della firma crittografica di un’app, qualcosa che il sistema operativo utilizza al momento di decidere quali privilegi speciali concedere o meno ad una applicazione (come l’accesso NFC o come agire con un plugin), permettendo così di bypassare la normale sandboxing Android. A quanto pare KitKat ha contribuito a frenare alcune cose che questo exploit consente, ma è ancora in qualche modo vulnerabile.
Google da parte sua ha subito risposto al quesito, anche se non ha riscontrato nessuna applicazione maligna, ringraziando i ragazzi di Bluebox (team che ha scoperto la vulnerabilità) e rilasciando una Pach che permette di limitare i danni.
Nel frattempo, si consiglia di usare cautela nel download di applicazioni “speciali” che non si trovano sul Google Play Store.
