Jon Oberheide, ricercatore di un’università nel Michigan, ha scovato una grave vulnerabilità all’interno della piattaforma che gestisce il download, l’installazione e l’esecuzione delle applicazioni presenti sull’Android Market. Per dimostrarlo, ha scelto di pubblicare un software chiamato Angry Birds Bonus Level, facendo leva sul grande successo ottenuto dal gioco sviluppato da Rovio tra gli utenti di smartphone Android.
Una volta scaricato e installato, il programma non offre però alcun livello aggiuntivo, bensì dimostra come attraverso l’inclusione di un codice maligno sia possibile scaricare e lanciare all’insaputa dell’utente altri tre software: Fake Contact Stealer, Fake Location Tracker e Fake Toll Fraud. In questo caso, fortunatamente, non si tratta di applicazioni in grado di rubare informazioni o trasmettere senza autorizzazione la posizione del telefono, ma di un esercizio di stile utile per mettere in guardia sui rischi che gli utenti meno scrupolosi potrebbero correre con il download di alcuni software.
Questa applicazione ha pieno accesso alle funzionalità per l’inoltro delle chiamate (CALL_PHONE) e per l’invio di SMS (SEND_SMS), con la possibilità di commettere frodi senza la vostra autorizzazione. In realtà, si tratta soltanto di una dimostrazione e non presenta alcun rischio. Per qualsiasi domanda o chiarimento, potete scrivere un’email all’indirizzo jon@oberheide.org.
Questo l’inquietante messaggio che hanno visto comparire sul display tutti coloro che hanno scaricato Angry Birds Bonus Level. Al momento, l’applicazione risulta rimossa dalle pagine dell’Android Market. Resta da chiarire se Jon Oberheide disponga dei diritti necessari alla riproduzione del marchio Angry Birds, detenuto dalla software house finlandese Rovio.
