Trust aWare indaga le vulnerabilità dei sistemi aperti come Android
La comunità dei ricercatori sta analizzando molti abusi della privacy e della sicurezza nelle applicazioni pubblicate sui mercati delle applicazioni mobili come Google Play. Gli esperti di Trust aWare stanno sviluppando nuove metodologie per comprendere meglio i rischi a cui gli utenti finali possono essere esposti per il solo fatto di possedere un telefonino. Nell’articolo “Android OS customisations and the accompanying security risks”, pubblicato sul sito ufficiale del progetto europeo Trust aWare, la ricercatrice Vinuri Bandara dell’Università Carlo III di Madrid, ci spiega perché la natura open source del sistema operativo Android può rendere più vulnerabili i nostri cellulari.
“Dal punto di vista dell'esperienza utente, possiamo vedere come i produttori di dispositivi possano sfruttare la natura open source del sistema operativo Android come un'opportunità per aggiungere ulteriori funzionalità alle loro applicazioni principali come telefono, fotocamera, contatti ecc. Ma dal punto di vista della sicurezza, la personalizzazione può introdurre nelle applicazioni principali permessi non necessari, trojan e vulnerabilità come le backdoor. Ad esempio, nel 2019, il malware Trissa Trojan è stato trovato incorporato in una delle librerie di sistema di diversi smartphone Android a basso costo, come Leagoo e Nomu”, spiega la ricercatrice.
La comunità dei ricercatori sta analizzando le pratiche di sviluppo di diversi produttori. E quasi tutti incorporano permessi aggiuntivi nelle loro applicazioni principali. Alcuni si discostano notevolmente dal progetto open source di Android e aggiungono ulteriori caratteristiche e funzionalità al sistema operativo, che possono violare la privacy dell’utente.
“Abbiamo solo iniziato a scalfire la superficie dell'applicazione principale di Android, che potrebbe rappresentare una grave minaccia per la sicurezza degli utenti finali”. Per limitare questi rischi sono necessarie efficaci convalide di compatibilità con Android e un'attenta integrazione di librerie e Software Development Kit (SDK) di terze parti, “ma soprattutto un richiamo alla responsabilità dei produttori nei confronti dei loro clienti”, conclude Vinuri Bandara.
