Android: versione 2.3, vertenza legale e buchi di sicurezza

Il giorno di Android 2.3 potrebbe essere imminente. La nuova versione del sistema operativo per dispositivi mobili dovrebbe ormai essere, secondo le indiscrezioni che si stanno diffondendo in Rete, sulla rampa di lancio. Tutti i dettagli tecnici sulla nuova attesa release di Android, conosciuta anche con il nome in codice di “Gingerbread“, sono stati per il momento mantenuti segreti.
Per adesso, quindi, è possibile solamente fare alcune supposizioni – basandoci sulle dichiarazioni resi dai principali protagonisti del progetto Android nel corso degli ultimi mesi – circa le novità della release 2.3 del sistema operativo.
Innanzi tutto, ci saranno sicuramente innovazioni relative all’interfaccia utente, sarà probabilmente introdotto il supporto per WebM – il formato video royalty-free ed opensource sviluppato da Google per il quale è già disponibile un pacchetto SDK -, si punterà ulteriormente sull’integrazione con i social network e con servizi di videochat (oltre che con il nuovo Google Voice, disponibile in anteprima solo negli USA).

La battaglia legale

Se lo sviluppo procede, prende sempre più forma la vertenza legale avviata da Oracle nei confronti di Google. La società di Larry Ellison ha infatti accusato Google di aver deliberatamente copiato porzioni di codice della piattaforma Java per utilizzarle nel sistema operativo Android. Secondo i legali di Oracle si tratterebbe di una prassi posta in essere violando la proprietà intellettuale dell’azienda (ved. anche questo articolo).
L’azienda di Mountain View ha presentato un documento aggiornato presso la corte distrettuale della California del Nord rimarcando di non aver mai copiato in modo diretto il codice Java ed accusando anzi Oracle di un comportamento non propriamente “cristallino”.
Il processo dovrebbe iniziare il prossimo anno, ad ottobre. Oracle, da parte sua, chiede che Google sia obbligata a cessare il suo comportamento o che la società versi un’ingente quota risarcitoria. Di contro, i legali di Google hanno bollato le contestazioni di Oracle come “senza alcun fondamento”.

Qualche lacuna di sicurezza

Alcuni ricercatori hanno dimostrato due vulnerabilità che permetterebbero ad un aggressore di installare applicazioni sulla piattaforma Android senza la specifica autorizzazione dell’utente. La peculiarità delle due falle è che possono essere sfruttate senza prendere di mira il sottostante kernel Linux. Secondo gli autori della scoperta, il browser web integrato in Android disporrebbe dei diritti per l’installazione di pacchetti software addizionali: tale funzionalità sarebbe stata integrata per consentire, ad esempio, l’aggiornamento automatico di un plugin qual è Flash Lite.
Secondo quanto fatto presente, le problematiche di sicurezza – che riguardano Android 2.1 – sarebbero state sanate nella versione 2.2 del sistema operativo. Tuttavia, solamente un terzo degli utenti dispone della versione 2.2 di Android sui propri dispositivi.
Un altro esperto, Jon Oberheide, ha dimostrato la presenza di un altro “buco” di sicurezza che permetterebbe l’installazione automatica di applicazioni arbitrarie dall’Android Market. Affinché ciò avvenga l’utente deve installare un’applicazione “maligna”, in grado di sfruttare la lacuna del sistema operativo. Ciò però può avvenire pubblicizzando, sempre sull’Android Market, come benigna un’applicazione che in realtà non lo è.