I ricercatori della IBM hanno effettuato uno studio sulla sicurezza delle app Android, in particolare su Firefox il quale stando alle dichiarazioni risulta presentare gravissimi problemi di sicurezza che potrebbero mettere seriamente a rischio gli utenti, vediamo i dettagli!
Nei loro laboratori i ricercatori hanno sviluppato un exploit che attacca “brute force” una stringa denominata “random” la quale compone il profilo utente di Firefox, inutile dire che sono riusciti a bypassare la sandbox che Android usa per proteggere eventuali tentativi di leak con questo metodo e sono riusciti a ottenere dati sensibili quali Cookie, cronologia e info nella cache.
Ovviamente il problema è stato segnalato e attualmente di importanti rischi segnalati non ce ne sono ma è bene tener a mente queste vulnerabilità, le quali non sono le uniche.
Sembrerebbe anche che Firefox permetterebbe di caricare i file inclusi nella directory degli utenti usando un banalissimo Intent, ossia il metodo con cui Android fa comunicare le varie applicazioni nel sistema.
Tra i file più esposti alle vulnerabilità troviamo sicuramente quelli nella cartella download, i quali sono ovviamente molto esposti ad eventuali attacchi ma in questo caso la cosa è un tantino diversa in quanto l’utente crederà che sia stato Firefox ad aprirli non il “cattivo di turno”.
Passiamo poi ad una falla descritta come CVE-2014-1484, che fa si che il nome del profilo firefox venga scritto direttamente nel Log, il che significa che basterebbe una app con i permessi per leggere tale log per ottenere info sensibili (perfettamente innoquo ricordiamo, viene usato nello sviluppo delle app).
L’ultimo exploit creato da IBM per testare la app tratta del sistema di report crash di Firefox, in questo caso il browser va in crash e crea un dump di data/data/org.mozilla.firefox/files/mozilla/Crash Reports/pending, in quel file vi sono ovviamente molti dati sensibili che sono utili a mozilla per identificare il crash che si è verificato e tentare di risolverlo il prima possibile, insomma, è un modo per permettere agli utenti di collaborare nello sviluppo, ovviamente però, non è protetto abbastanza.
Speriamo ovviamente che Mozilla corregga presto queste falle, perché cracker più o meno esperti potrebbero mettere insieme queste falle e ottenere i dati sensibili che abbiamo usato nella app di Firefox, la quale è molto apprezzata anche da noi per la sua estrema leggerezza e stabilità offerta anche su devices della fascia “low cost”, come sempre però c’è il rovescio della medaglia, e questa volta è anche molto grave.