Stagefright 2.0, torna la paura su Android

Una falla di vecchia data e un bug che affligge Android 5.x aprono il sipario su una nuova minaccia da un miliardo di utenti: basta l'anteprima di un video o di un file audio. Le patch sono pronte, ma quando saranno distribuite?
Una falla di vecchia data e un bug che affligge Android 5.x aprono il sipario su una nuova minaccia da un miliardo di utenti: basta l'anteprima di un video o di un file audio. Le patch sono pronte, ma quando saranno distribuite?

Un altro grave problema di sicurezza affligge Android, due altre falle che hanno a che vedere con il modo in cui il sistema operativo di Google elabora i metadati dei file multimediali per la semplice gestione delle anteprime: come nel caso della prima piaga Stagefright , per condurre un attacco basta che la vittima segua un link che conduca a una pagina che ospiti l’exploit, sotto forma di musica o video.

Stagefright

A scoprire la coppia di vulnerabilità è stato il ricercatore di Zimperium Joshua Drake, che a luglio aveva scovato le sei minacce nella componente Stagefright che avrebbero potuto mettere in ginocchio 950 milioni di device, il 95 per cento dei dispositivi Android in circolazione, e che hanno convinto Google a dispiegare un sistema di aggiornamenti regolari, almeno per terminali Nexus, e a distribuire tempestivamente patch che gli attori del mercato stanno progressivamente implementando.

I due bug, spiega Zimperium senza entrare nei dettagli prima che Google intervenga per sanare il problema, risiedono l’uno nella componente libutils per Android a partire dalla versione 1.0 fino alle versioni precedenti ad Android 5.0, l’altro nella componente libstagefright a partire da Android 5.0. È la seconda vulnerabilità a consentire lo sfruttamento della prima sui dispositivi aggiornati, mentre gli utenti di versioni di Android antecedenti alla 5.0 possono essere attaccati per mezzo di una qualsiasi applicazione che sfrutti la libreria libutils . Nel complesso, i ricercatori parlano di oltre un miliardo di dispositivi vulnerabili , esposti alle violazioni dei dati che risiedono sul terminale e all’esecuzione di codice da remoto, innescate per mezzo del malware che si può accompagnare ai file multimediali.

Il vettore più probabile dell’attacco, spiega la security company, è il browser : un malintenzionato potrebbe indurre l’utente a visitare pagine web che contengano file audio o video creati ad hoc. L’exploit può essere messo in atto inoltre attraverso applicazioni di terze parti come mediaplayer o piattaforme di instant messaging che permettano di scambiare file o con l’intercettazione del traffico di rete non cifrato su reti WiFi.

Google è stata informata delle vulnerabilità il 15 di agosto: il bug in libutils è stato classificato come CVE-2015-6602 e al problema rilevato in Stagefright è stato assegnato il codice CVE-2015-3876. Mountain View ha affidato le patch ai partner Android il 10 settembre: se gli utenti di terminali Nexus potranno considerarsi al sicuro con il prossimo update mensile previsto per il 5 ottobre, la tempistica della distribuzione a favore degli altri utenti, anche in vista del rilascio di Android 6.0, sarà tutta da verificare .

Gaia Bottà

Link copiato negli appunti

Ti potrebbe interessare

01 10 2015
Link copiato negli appunti