Viene da un ricercatore italiano, studente di dottorato all'Università della California a Santa Barbara, la scoperta dell'ultima vulnerabilità grave in Android.

Nel suo blog, Yanick Fratantonio racconta di come quasi per caso, insieme a un collega, hanno scoperto come bloccare completamente qualunque dispositivo (smartphone o tablet) con Android.

Tutto nasce dalla scoperta di un precedente bug in Android che permetteva di portare un attacco DoS verso un dispositivo Android: a causa di un problema di permessi, Zygote (il processo di sistema dal quale, in Android, derivano tutti gli altri) poteva essere usato per dare vita a un numero di processi tanto alto da bloccare il dispositivo in circa un minuto.

La vulnerabilità in grado di fare tutto ciò è stata considerata critica e ha ricevuto un aggiornamento di sicurezza da parte di Google, che l'ha risolta.

Sembrerebbe che a questo punto tutto sia andato per il meglio, ma Yanick e il collega hanno voluto fare una prova e vedere se fossero in grado di creare una fork bomb, ossia un'applicazione che genera tanti processi da bloccare il sistema.

Il loro tentativo ha avuto successo su diverse versioni di Android, dalla 2.4.7 alla 4.2.2, comprese alcune versioni cooked (ossia non "originali" ma modificate dalle varie comunità di sviluppatori): tutte si sono bloccate immediatamente.

Resisi conto del problema, i due hanno contattato il team di sicurezza Android, il quale però ha risposto che non si trattava di un vero problema, poiché l'attacco DoS causato dall fork bomb era soltanto locale e, in fondo, l'utente poteva riprendere il controllo del dispositivo tramite un riavvio.

Al di là della pericolosità dell'exploit scoperto da Yanick - che agisce bloccando immediatamente il dispositivo, non dopo circa un minuto come la vulnerabilità precedente - è curioso l'atteggiamento del team di sicurezza di Android e l'effettiva utilità della patch rilasciata a suo tempo.

Le conseguenze per gli utenti, sottovalutate dal team di Android, possono essere quantomeno spiacevoli: «Che cosa accadrebbe se l'attacco cominciasse durante la notte, quando l'utente si affida al telefono per la sveglia? Sarebbe una gran seccatura. E se l'app pericolosa si avviasse a ogni boot, rendendo di fatto il dispositivo completamente inutilizzabile sin dall'inizio?» si chiede Yanick nel blog.

La questione - che risale allo scorso febbraio ma è stata resa nota solo ora dopo aver visto che il team ufficiale non sembra intenzionato a occuparsene - resta aperta e al momento tutti i dispositivi con Android paiono vulnerabili.

Chi si sentisse in vena di esperimenti può scaricare liberamente la fork bomb, nella consapevolezza che così facendo avrà bisogno di un riavvio per riprendere i controllo del proprio dispositivo (l'app non riparte a ogni boot, quindi disinstallarla dopo il riavvio non è un problema).