Un ricercatore di sicurezza ha recentemente scoperto una nuova preoccupante falla nel sistema operativo mobile di Google, Android. Sfruttando una serie di vulnerabilità, gli hacker potrebbero compromettere un dispositivo semplicemente inviando o un MMS o un file multimediale. Quando un dispositivo viene infettato dal virus, gli hacker possono accedere a microfono, telecamera, alla memoria esterna, e in alcuni casi a seconda del dispositivo, anche ottenere l’accesso root.
L’exploit, chiamato Stagefright e scoperto da Joshua Drake della società di sicurezza Zimperium, sfrutta una serie di vulnerabilità presenti nel software Android, e in particolare i procssi che il sistema utilizza per "processo, riprodurre e registrare file multimediali".
A rendere l’exploit veramente pericoloso è che può apparentemente essere attivato senza alcuna azione diretta da parte dell’utente. Dal momento che il framework software in questione è utilizzato per la gestione di tutti i tipi di contenuti multimediali, i telefoni possono anche essere infettati nel momento in cui accedono ad una pagina web con contenuti video incorporati.
"Ho fatto un sacco di test su un Galaxy Nexus con [Android] Ice Cream Sandwich…", ha detto Drake in un’intervista a Forbes. Tuttavia, il vicepresidente di Zimperium ha detto che vulnerabili sono il 95% dei dispositivi Android (smartphone e tablet), circa 950 milioni. A rischio tutte le versioni di Android dalla 2.2 in poi, e quindi Honeycomb, Ice Cream Sandwich, Jelly Bean, KitKat e Lollipop.
Drake ha portato alla luce l’exploit, ed ha sviluppato una patch per risolverla. Drake ha condiviso la sua ricerca e la patch con Google lo scorso aprile, e quindi il gigante della ricerca ha applicato la soluzione correggendo il suo "codice base di Android". Un portavoce di Google ha spiegato: "Questa vulnerabilità è stata identificata in ambiente di laboratorio sui vecchi dispositivi Android e, per quanto ne sappiamo, nessuno è stato colpito dal virus. Non appena ne siamo venuti a conoscenza, ci siamo subito attivati per inviare ai nostri partner un bug fix per proteggere gli utenti”.
Tuttavia, ci vogliono mesi prima che vengano rilasciati i nuovi aggiornamenti Android col codice aggiornato e quindi rimarranno vulnerabili per diverso tempo un sacco di telefoni Android, si ritiene circa il 95% dei dispositivi Android ora attivi. Non basta, infatti, che Google aggiorni il suo codice di base, poichè i firmware dei dispositivi con l’interfaccia utente personalizzata dal produttore (Samsung con la TouchWiz UI, o HTC con HTC Sense UI solo per citarne un paio) hanno bisogno di ulteriori passaggi prima di essere distribuiti.
L’exploit è serio al punto che gli esperti di sicurezza hanno definito Stagefright “la peggiore vulnerabilità Android scoperta finora”.
La replica ufficiale di Google – 30 Luglio 2015
Vogliamo ringraziare il ricercatore per il report, che ci aiuta a rafforzare la sicurezza di Android. Il nostro team sta monitorando da vicino il potenziale sviluppo, tuttavia non abbiamo rilevato alcuna evidenza di un utilizzo concreto.
Laddove ci dovesse essere una diffusione reale, l’unico rischio per gli utenti è un’interruzione temporanea della riproduzione multimediale sul loro dispositivo.
E’ sufficiente disinstallare l’applicazione che non risponde o evitare di tornare sul sito web che fa sì che il browser si blocchi per risolvere il problema.
Forniremo inoltre una patch di correzione in una versione futura di Android.
