Google ha recentemente chiuso una falla (una XSS per la precisione) dell'Android Market accessibile via web (market.android.com) che permetteva ai malintenzionati di installare applicazioni sui terminali senza il consenso degli utenti.
Secondo Jon Oberheide, uno degli sviluppatori del Reparto Sicurezza di Android, la vulnerabilità veniva sfruttata inserendo del codice nel campo descrizione dell'applicazione; nel momento in cui veniva visitata la pagina dell'app, l'ignaro utente effettuava il download della stessa.
L'installazione non avveniva subito: veniva presentata in seguito con una notifica e, spacciata per un aggiornamento di sistema, il possessore del dispositivo acconsentiva senza indugiare.
Naturalmente gli unici utenti esposti agli attacchi provenienti dalla falla erano coloro che effettuavano il login nello store virtuale con l'account Google associato al proprio smartphone.
La correzione del bug presente nel codice è l'ennesima azione per la tutela della sicurezza intrpresa da Google che nei giorni ha scorsi ha dapprima cancellato una cinquantina di applicazioni dannose dal market e, in seguito, le ha disinstallate su tutti i terminali da remoto.
Symantec: non installate Android Market Security Tool
Lo scorso 6 Marzo, Google ha rilasciato l'applicazione Android Market Security Tool destinata agli utenti infettati dalle applicazioni auto-installanti rimosse alcuni giorni fa dallo store virtuale di Android.
