Bluebox Labs, una società statunitense specializzata in sicurezza, in occasione de Black Friday ha fatto delle verifiche su alcuni tablet distribuiti da grandi catene USA, incluse: Amazon, Best Buy, Kmart, Kohl’s, Staples, Target, Walmart, e ha individuato su dispositivi nuovi di zecca vulnerabilità definite “scioccanti” e in alcuni casi persino malware e backdoor.
Tra le problematiche non risolte individuate in una dozzina di tablet in questione, vulnerabilità quali Masterkey, FakeID, Heartbleed e Futex; più di un terzo dei dispositivi in questione sono venduti con configurazioni di sicurezza di default errate o con backdoor attive (in informatica le backdoor sono “porte di servizio” che consentono di scavalcare varie misure di sicurezza).
Bluebox ha individuato la vulnerabilità nota come “Master Key”, potenzialmente molto pericolosa poiché vanifica la sicurezza del sistema di verifica delle firme digitali adottato dal sistema operativo, consentendo di installare file APK da qualsiasi sorgente esso provenga. Master Key è all’origine di zombie botnet individuata lo scorso anno, similarmente a quanto accaduto con Fake ID, falla che consente ad applicazioni malevole di sfruttare il nome di certificati ritenuti attendibili dal sistema operativo.
Benché Google abbia rilasciato patch per risolvere le due vulnerabilità in questione, in realtà in commercio si trovano prodotti ai quali le patch non sono state applicate. Molti prodotti in commercio secondo Bluebox presentano vulnerabilità che consentono a malintenzionati di prendere il controllo in remoto, bloccando l’accesso a Google Play e disattivando meccanismi di sicurezza del sistema.
La palma del dispositivo “peggiore” mai venduto, spetta a Best Buy per un tablet marcato DigiLand, con integrato di serie software di test dell’Android Open Source Project e che consentirebbe a un attacker di creare facilmente un sistema di update con trojan. Il dispositivo di Best Buy è venduto con connessione attiva per l’USB debugging che opera con privilegi di root (in pratica il dispositivo arriva predisposto per il rooting, permettendo di fare qualsiasi cosa con il proprio sistema).
La società consiglia di non fidarsi di prodotti a bassissimo costo; citando tra i modelli Android sicuri il Samsung Galaxy Tab3 e il Nexus 9 di HTC “brandizzato” Google. La società di sicurezza ha messo a disposizione degli utenti un’app che consente di verificare la presenza di vulnerabilità note ed errate impostazioni di sicurezza.
