Grazie al suo centro di ricerca delle reti mobili, il fornitore di soluzioni di sicurezza a livello mondiale Check Point Software Technologies ha annunciato di aver individuato una vulnerabilità critica che colpisce milioni di dispositivi Android, inclusi quelli realizzati dai principali produttori come LG, Samsung, HTC e ZTE. Il team ha reso noto la notizia durante una sessione specifica all’interno della conferenza Black Hat USA 2015 svoltasi a Las Vegas.

Certifi-gate è una vulnerabilità che consente ad alcune applicazioni di ottenere illecitamente privilegi di accesso, solitamente utilizzati dalle applicazioni di supporto remoto pre-installate (o personalmente installate) sul dispositivo. Gli hacker possono sfruttare Certifi-gate per avere accesso illimitato a un dispositivo, con la possibilità di rubare dati personali, di localizzare il dispositivo, accendere il microfono e registrare una conversazione, e molto ancora.

Visto che Android non fornisce alcun modo per revocare privilegi di accesso, senza una patch specifica questi dispositivi sono a rischio non appena vengono attivati. Check Point ha già segnalato Certifi-gate a tutti i produttori coinvolti, che hanno iniziato a rilasciare aggiornamenti. Non c’è modo di correggere questa vulnerabilità, ma si può solo ricorrere a un aggiornamento quando viene installato un nuovo software tramite un procedimento notoriamente lento. Inoltre, Android non fornisce alcuna soluzione per revocare i certificati utilizzati per accedere ai plugin vulnerabili.

“Questa vulnerabilità può essere sfruttata molto facilmente e può causare la perdita e la diffusione di dati personali degli utenti. È arrivato il momento di prendere sul serio la sicurezza dei dispositivi mobili” ha dichiarato Dorit Dor, vice president of products di Check Point Software Technologies.

Gli utenti Android possono controllare se il loro dispositivo è a rischio Certifi-gate scaricando l’app gratuita Check Point Certfi-gate Scanner da Google Play. La società israeliana ha inoltre lanciato Check Point Mobile Threat Prevention, una nuova soluzione dedicata alla difesa dei dispositivi mobili che le aziende possono utilizzare nella lotta contro questo genere di minacce in continua evoluzione, in modo da rilevare pericoli come Certifi-gate, app dannose, attacchi man-in-the-middle e da offrire la migliore difesa contro le minacce ai dispositivi iOS e Android.