Ancora grane per l’Android Market: scoperta una vulnerabilità XSS

Brutto periodo per Google e il suo sistema operativo Android: se proprio la settimana scorsa il colosso di Mountain View si era trovato faccia a faccia con una seria vulnerabilità all’interno di alcune applicazioni nell’Android Market, oggi è arrivata la notizia che un grande bug è stato scoperto nell’Android Market stesso.

Per quanto ne sappiamo il bug risiede nella cartella dedicata al campo “descrizione dell’applicazione” all’interno dei server del market: tramite questo bug, infatti, le applicazioni potrebbero venire scaricate sulla periferica Android senza permesso alcuno dell’utente, a patto che questi sia loggato all’interno dell’Android Market. L’unico modo per accorgersene è stare attenti alle barre di download e vedere se nella lista dei download terminati vi sono files che non ricordate di aver scaricato.

Ma c’è di più: la vulnerabilità XSS in sè non permette l’installazione automatica dell’applicazione maliziosa, operazione che però può essere tranquillamente avviata da un utente malizioso direttamente da remoto, anche se ciò avrebbe richiesto skills avanzate di programmazione.

Il team di Google si sta già impegnando a chiudere la vulnerabilità XSS all’interno dell’Android Market, mentre il problema che riguarda l’installazione automatica delle applicazioni è stato risolto quasi immediatamente.

Speriamo soltanto che Google si riprenda presto da queste “mazzate”. Vi lascio un link qui in basso con maggiori informazioni sull’argomento.