Dalle credenziali di posta elettronica ai dati bancari.

Sono state “bucate” applicazioni come Gmail, vulnerabile all’attacco nel 92% dei casi. Quella più difficile da manomettere è stata Amazon, tanto che l’esperimento è riuscito solo nel 48% dei casi.

La debolezza di Gmail:un attacco piuttosto complesso e che presuppone che l’utente scarichi di sua iniziativa un’app poco sicura, contenente un codice malevolo, fungendo da cavallo di Troia per infettare il sistema. L’attività dell’utente è spiata da terze parti monitorando la memoria condivisa,cioè l’area del sistema operativo dove le applicazioni dialogano fra loro.

Così facendo, l’attaccante può capire quando si stanno inserendo delle credenziali per accedere a Gmail o a un altro servizio, e può impossessarsi di tutto ciò all’insaputa dell’utente. Molto diplomatica la risposta di Google: “la ricerca di terze parti – dicono a Mountain View – è una delle attività che rende Android più forte e sicuro”.

Alla domanda su cosa possono fare gli utenti per difendersi da questo tipo di minacce, il consiglio di Zhiyun Qian del Dipartimento di Scienza dei Computer di Riverside, è stato soltanto uno: “non installare applicazioni non affidabili”.

Sul fronte più generale dell’architettura del sistema operativo, invece, l’unica soluzione, è quello di trovare un migliore compromesso fra funzionalità e sicurezza. A oggi, troppo spesso la seconda è sacrificata a favore della prima.