Google smette di fornire aggiornamenti per Android Jelly Bean e versioni inferiori per il componente Webview

Oltre 900 milioni di utenti lasciati in attesa mentre Google annuncia di aver smesso di fornire patch di sicurezza per il componente Webview in Android 4.3 Jellybean e versioni precedenti

Triste ma vero. Se sei una di quelle persone che utilizza Android 4.3 e versioni inferiori sul proprio smartphone e sta aspettando che Google corregga la vulnerabilità della Politica di Origine Comune (SOP) di Android, beh, non la riceverai da Google.

Il difetto legacy SOP di Android, scoperto da Rafay Baloch, un ricercatore di sicurezza pakistano, colpisce il componente webview del browser predefinito di Android installato su circa 930.000 smartphone che operano con Android 4.3 Jelly Bean e versioni inferiori.

La vulnerabilità nel componente WebView si verifica quando si sostituisce l’attributo ‘data’ di un dato oggetto HTML con uno schema URL JavaScript. Un potenziale hacker potrebbe sfruttare il difetto UXSS per estrarre dati dei cookie e contenuti delle pagine da una finestra del browser vulnerabile.

Il buco di sicurezza può essere sfruttato in tutte le versioni del browser Android Open Source Platform (AOSP), noto anche come browser stock o predefinito di Android. La vulnerabilità esiste solo in Android OS 4.3 Jellybean e versioni inferiori.

Joe Vennix di Rapid7 e Rafay hanno collaborato per mettere a punto un codice Metasploit per questa vulnerabilità affinché Google e altri produttori di smartphone potessero correggere il difetto.

Tuttavia, nessuna patch è in arrivo. Nel frattempo, Trend Micro Labs ha scoperto che il codice Metasploit veniva sfruttato nel mondo reale per dirottare gli account Facebook degli utenti che avevano smartphone che eseguivano Android 4.3 Jellybean e versioni inferiori.

Ora Rapid7 ha contattato Google per correggere questa vulnerabilità critica e ha ricevuto una risposta scioccante da Google. Google ha smesso di fornire patch di sicurezza per Android 4.3 jelly bean e versioni inferiori. Questa è stata la risposta che un ricercatore di sicurezza di Metasploit ha ricevuto da Google.

“Se la versione interessata [di WebView] è precedente alla 4.4, in genere non sviluppiamo noi stessi le patch, ma accogliamo le patch con il rapporto per considerazione. Oltre a notificare gli OEM, non saremo in grado di intraprendere alcuna azione su qualsiasi rapporto che colpisca versioni precedenti alla 4.4 che non siano accompagnate da una patch.”

Il ricercatore di sicurezza sorpreso, Tod Beardsley della comunità Metasploit di Rapid7, ha riportato nel blog.

“Quindi, Google non fornirà più patch per la 4.3. Questa è una notizia che fa alzare le sopracciglia.” ha aggiunto, “Non ho mai visto un programma di risposta alle vulnerabilità che fosse vincolato al fatto che il segnalatore fornisse la propria patch, eppure sembra essere la posizione di Google. Questo cambiamento nella politica di sicurezza sembrava così bizzarro, infatti, che non potevo credere che fosse effettivamente una politica ufficiale di Google.”

Per confermare il suo shock, Tod ha seguito la questione con la sicurezza di Google e ha ricevuto una risposta simile dal team di sicurezza di Google.

Se la versione interessata [di WebView] è precedente alla 4.4, in genere non sviluppiamo noi stessi le patch ma notifichiamo i partner del problema[…] Se le patch vengono fornite con il rapporto o inserite in AOSP, saremo felici di fornirle anche ai partner.

Sembra che Google abbia smesso di fornire supporto solo per il componente Webview delle vecchie versioni di Android perché quando Tod ha chiesto ulteriori informazioni, gli è stato detto che “il team di sicurezza di Android ha confermato che altri componenti precedenti a KitKat, come i lettori multimediali, continueranno a ricevere patch retroportate.”

Il problema è che ad oggi solo il componente Webview delle versioni precedenti di Android risulta vulnerabile, e come dimostrato da Trend Micro Labs, viene sfruttato nel mondo reale. Questo è il componente che dovrebbe essere corretto in tutte le versioni il prima possibile affinché gli utenti di smartphone Android non siano sfruttati a causa della vulnerabilità SOP.

Questo significa anche che circa 930 milioni di smartphone là fuori stanno aspettando di essere sfruttati da potenziali hacker e criminali informatici. Secondo le ultime cifre di distribuzione di Android di Google, il 46% dei dispositivi Android esegue Jelly Bean, seguito da KitKat al 39,1%. Gli utenti Android rimanenti sono su Gingerbread (versioni 2.3.3-2.3.7, utilizzate dal 7,8% dei telefoni), Ice Cream Sandwich (versioni 4.0.3 a 4.0.4, utilizzate dal 6,7%) e il vecchio Froyo (versione 2.2, 0,4%).

Tod Beardsley ha dichiarato che questa è la decisione più “bizzarra” da parte di Google.

I produttori di smartphone che hanno commercializzato questi smartphone negli anni passati non sono più interessati a fornire patch/supporto a queste versioni. Quindi chi fornirà patch per questa vulnerabilità critica e proteggerà milioni di utenti di smartphone Android che hanno Android 4.3 e versioni inferiori sui loro telefoni, è un mistero.