About these ads
Home > Mobile, Security > Cross-Site Scripting in svendita… All’Android Market

Cross-Site Scripting in svendita… All’Android Market


Per un giorno mi ero ripromesso di non parlare dei problemi di sicurezza dell’Androide ma non ce l’ho fatta… Non si sono ancora sopite del tutto le polemiche relative al modello di sicurezza dell’Android Market (io invece mi ero quasi sopito) che oggi è trapelata la notizia di una grave vulnerabilità di tipo XSS esistente, dalla sua origine, nella versione Web dell’Android Market. Prima della sua scoperta da parte di Jon Oberheide (ricercatore di sicurezza non nuovo a questo genere di scoperte), la vulnerabilità  in questione era sfruttabile inserendo codice malevolo  all’interno del campo “Description” nella finestra di pubblicazione delle applicazioni.

La falla nel sistema di input consentiva di eseguire il codice in questione nel dispositivo client nel momento in cui l’utente  ricercava l’applicazione nel mercato (e quindi il browser leggeva il campo in questione).

Dopo la segnalazione la vulnerabilità è stata sanata, ma senza dubbio, per il povero androide, continua a piovere sul bagnato.

Piccola nota romantica: il ricercatore cacciatore di taglie informatiche ha scoperto la vulnerabilità e l’ha segnalata a Google pochi giorni prima del Pwn2Own 2011, ricevendo una taglia di 1337 $. L’avesse svelata durante il contest avrebbe ricevuto in premio 15.000 $, quindi un ordine di grandezza in più di quanto meritatamente spillato nella circostanza al gigante di Mountain View.

About these ads
  1. No comments yet.
  1. March 19, 2011 at 5:30 pm

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Follow

Get every new post delivered to your Inbox.

Join 3,172 other followers