Sicurezza Android · 3 min read · Oct 24, 2025

Il bug di bypass del SOP di Android legacy espone miliardi di smartphone e tablet

Table Of Contents

  • Il bug di Android legacy espone miliardi di smartphone e tablet
  • Vulnerabilità universale di cross-scripting
  • Svantaggio di essere open source
  • Prova di concetto
  • Prova di concetto utilizzando la chiamata Postmessage
  • Codice vulnerabile

Il bug di Android legacy espone miliardi di smartphone e tablet

Un ricercatore pakistano, Rafay Baloch, ha scoperto un bug di bypass del SOP presente nel browser predefinito di Android (browser stock), fornito in ogni versione del sistema operativo open source fino alla 4.4 KitKat. L’esperto ha coordinato la divulgazione del bug con la società di sicurezza Rapid7, che ha rilasciato un modulo Metasploit per esso. Il browser predefinito funziona sui dispositivi di circa il 70% degli utenti di smartphone che utilizzano versioni più vecchie di Android, rendendo miliardi di utenti esposti a questa vulnerabilità.

Vulnerabilità universale di cross-scripting

La vulnerabilità, che colpisce il componente WebView, si verifica “quando si sostituisce l’attributo ‘data’ di un dato oggetto HTML con uno schema URL JavaScript”, ha spiegato Tod Beardsley, responsabile tecnico del framework Metasploit. Un attaccante può sfruttare il difetto UXSS per estrarre dati dei cookie e contenuti delle pagine da una finestra del browser vulnerabile, ha affermato Rapid7. L’azienda ha notato che gli URL target che utilizzano X-Frame-Options non sono colpiti. La falla di sicurezza può essere sfruttata su tutte le versioni del browser Android Open Source Platform (AOSP), comprese quelle che utilizzano WebView.

Svantaggio di essere open source

Google ha rilasciato una patch per questa vulnerabilità. Tuttavia, un grande svantaggio del modo in cui funziona la comunità Android è che spetta ai produttori propagare gli aggiornamenti ai propri utenti, cosa che la maggior parte di loro non si preoccupa di fare. Questo si fa sentire quando Google rilascia nuove versioni di Android e il problema è avvertito anche ora. Poiché la maggior parte dei produttori potrebbe non preoccuparsi dell’aggiornamento, milioni di utenti che utilizzano una versione più vecchia di Android rimangono bloccati con questa vulnerabilità per sempre, a meno che non acquistino un nuovo dispositivo che venga fornito con l’ultima versione di Android 5.0 Lollipop. Ma questi utenti appartengono generalmente al segmento medio-basso e medio e non possono permettersi il dispositivo più recente in primo luogo, quindi acquistare un nuovo dispositivo non è davvero un’opzione per loro.

“Per molte, molte persone, acquistare un nuovo telefono semplicemente non è pratico; le persone che sono più probabilmente colpite dai bug di Android ‘legacy’ sono le stesse persone che non potevano permettersi un costoso dispositivo Android ‘latest’ in primo luogo,” ha detto Beardsley in un post sul blog. “In altre parole, sembra che un miliardo di telefoni non vedranno questa patch a breve, se mai. È bello che la patch esista, ma Google non sembra avere alcun modo pratico per distribuirla al mondo.”

Prova di concetto

La seguente è la prova di concetto: