Android, ogni dispositivo a rischio: nuovi bug scoperti

Due nuove vulnerabilità sono state scoperte nel software mobile Android di Google, che per i ricercatori di sicurezza rappresentano un pericolo per ogni dispositivo Android attivo nel mondo. La scoperta arriva da Zimperium zLabs, la stessa società di sicurezza che ha trovato una serie di bug pericolosi all’inizio di quest’anno sempre su Android.

I due nuovi bug possono esporre a rischi di violazione della privacy da hacker malintenzionati le persone con smartphone e tablet basati su Android. Sono solo gli ultimi di una serie di vulnerabilità che sono state trovate negli ultimi mesi nella piattaforma mobile di Google, entrambe comprese nell’exploit chiamato Stagefright e scoperto da Joshua Drake della società di sicurezza Zimperium, che sfrutta una serie di bug presenti nel software Android, e in particolare i processi che il sistema utilizza, per "processare, riprodurre e registrare file multimediali".

Come riportato da CNET, la società di sicurezza ha detto di avere inizialmente scoperto questa classe di vulnerabilità ‘Stagefright’ nel mese di aprile, ma solo più tardi si è resa conto che il problema è più ampio di quanto originariamente pensato.

I due nuovi bug mettono a rischio più di un miliardo di smartphone e tablet Android, dicono i ricercatori, perchè col primo bug sono vulnerabili tutti i dispositivi Android dalla versione 1.0 del software, che è stato rilasciato nel 2008, mentre col secondo bug sono a rischio tutti i dispositivi che eseguono versioni di Android successive alla numero 5.0 (Lollipop), compresa la unova 6.0 (Marshmallow).

I bug di classe Stagefright possono essere sfruttati semplicemente inviando un file multimediale dannoso ai dispositivi Android da violare. Nel caso dei nuovi bug scoperti, una vulnerabilità risiede nella gestione dei metadati all’interno dei file, e quindi anche solo l’anteprima di un brano o di un video con codice malevolo basterebbe per attivare il problema, ha spiegato Zimperium nel suo blog. 

Zimperium ha detto di aver avvertito la Security Team di Android di questo problema il 15 agosto: "Al solito, hanno risposto rapidamente e sono al lavoro per rimediare" hanno scritto i ricercatori nel loro blog.

In seguito la scoperta dell’exploit Stagefright, Google ha fatto sapere che si impegna a fare pervenire ai propri prodotti della linea Nexus aggiornamenti mensili di sicurezza per tre anni dal loro lancio sul mercato. I nuovi bug di cui sopra dovrebbero quindi essere prontamente risolti da Google nelle prossime settimane, almeno nei suoi dispositivi Nexus.