ERNW, una società tedesca specializzata in sicurezza, ha scoperto una vulnerabilità piuttosto grave nei sistemi Android. Chiamata BlueFrag, consentirebbe a un potenziale aggressore di ottenere i privilegi del daemon Bluetooth, a patto che questa connessione sia attiva, e utilizzarla per diffondere malware o rubare dati su tutti gli smartphone vicini, anch’essi con Bluetooth attivo, senza che nessuno se ne accorga.
A quanto pare la vulnerabilità non sarebbe presente su Android 10, l’ultima versione del sistema operativo del robottino verde, ma funziona invece perfettamente sulle due versioni precedenti, ancora estremamente diffuse, vale a dire Android 8 Oreo e Android 9 Pie. Non sappiamo inoltre se BlueFrag sia presente anche su release ancora più vecchie, perché i ricercatori non hanno valutato l’impatto. Tuttavia la sua presenza su due versioni recenti dell’OS mobile è più che sufficiente a destare preoccupazione, visto che dagli ultimi dati disponibili, Android 8 e 9 assieme sono installati su quasi il 40% degli smartphone Android.
Certamente, il fatto che il tutto avvenga tramite connessione Bluetooth invita a stare in guardia soprattutto nei luoghi particolarmente affollati, ma sappiamo bene che sono tantissimi gli utenti che lasciano la connessione Bluetooth sempre attiva, anche quando non la utilizzano, per cui anche se il contagio presuppone che l’hacker sia in un raggio di 10 metri, l’efficacia di BlueFrag non è assolutamente da sottovalutare.
BlueFrag inoltre solleva per l’ennesima volta il problema della diffusione delle release di Android e l’estrema frammentazione del mercato. Google infatti sviluppa il software, ma sono poi i singoli produttori a doverlo distribuire sui propri prodotti e questo avviene con una lentezza esasperante, in parte per necessità di ottimizzare il codice per i propri dispositivi, in parte per scelte unicamente commerciali, che mirano a tagliare fuori dagli aggiornamenti gli smartphone meno recenti, così da spingere le vendite.
Il risultato è che a ogni nuova release sono tantissimi gli utenti che non la riceveranno mai o la riceveranno dopo diversi mesi. In questo caso ad esempio Google ha annunciato che la patch sarà integrata nella release di sicurezza di febbraio 2020, ma molti potrebbero riceverla tra diverso tempo. Nel frattempo quindi sarebbe bene controllare sempre di avere la connessione Bluetooth disattivata quando non indispensabile.