Charles A. Miller colpisce ancora. Lo scopritore della falla su Safari, che gli ha permesso di vincere un MacBookAir in occasione della conferenza di CanSecWest, ha scovato un bug nel Googlefonino. A differenza di quanto successo alla conferenza, però, i dettagli sono stati diffusi presso il pubblico prima ancora di segnalarlo a Google, che è andata su tutte le furie.

La falla scovata riguarda il browser di default usato nel sistema operativo G1 (non solo Android è coinvolto, ma anche qualsiasi apparecchio che usi il OS made in Google) e permette di eseguire del codice da remoto sul dispositivo, permettendo l’installazione di qualsiasi cosa come trojan, backdoor e altro malware. Le informazioni diffuse specificano come sia necessaria la visione di una particolare pagina web.

Nonostante le potenzialità distruttive del bug, bigG ha immediatamente minimizzato il problema, in quanto tutto il sistema operativo è organizzato in zone isolate l’una dalle altre (sandbox). In parole povere qualsiasi applicazione malevola può causare dei danni solo nella sandbox dove è stata posizionata. Anche Miller è cosciente della progettazione dell’apparecchio, ma ha anche considerato come un qualsiasivoglia cracker possa ottenere informazioni sensibili, come il PIN della carta di credito se usata in acquisti via web e molto altro ancora.

Google, però, non si è tanto arrabbiata per aver scoperto che il proprio prodotto è fallato, cosa quanto mai normale considerando che è uscito da poche settimane, quanto per il fatto che Miller ha sparso ai quattro venti la presenza della falla stessa. Per l’azienda di Mountain View è stato “violato un codice non scritto tra aziende e ricercatori che è pensato per dare tempo ai produttori di correggere i problemi prima che vengano resi pubblici”. La difesa del ricercatore appare blanda, per lui l’obiettivo era avvisare quante più persone possibili della presenza della falla ed evitare furti di dati bancari, ma non ha segnalato in alcun modo il bug all’azienda né prima né immediatamente dopo l’intervista al New York Times.

Sia come sia Google ha già tappato la falla nella release Open Source per Android e sta lavorando con i propri partner, come T-Mobile e HTC, per risolvere il problema anche sulle altre piattaforme che includono G1. In contemporanea a tutto ciò si alzano le voci di chi ritiene il sistema di Google ancora troppo immaturo per essere diffuso presso il pubblico, dimenticandosi come scoprire falle in un software poco dopo il suo rilascio sia abbastanza normale.