I ricercatori di sicurezza hanno messo a punto un nuovo exploit per delle famigerate vulnerabilità di Android, quelle che colpiscono Stagefright: Google le ha sanate a suo tempo con misure come il sistema di Address Space Layout Randomization (ASLR), ma sembra non bastare, e inoltre non tutti i produttori, come noto , hanno concesso agli utenti di mettere in sicurezza il sistema operativo.
Il nuovo exploit che sfutta i problemi della libreria che su Android si occupa di gestire i file multimediali si chiama Metaphor, ed è stato sviluppato dai ricercatori di North-Bit sulla base degli exploit realizzati dai colleghi di Zimperium e sviluppati internamente dalla stessa Google . Metaphor, spiega North-Bit, è stato testato su Nexus 5, su LG G3, HTC One e Samsung Galaxy S5, e nonostante si comporti diversamente sulle differenti versioni dell’OS e sui diversi terminali, può funzionare su Android nelle versioni da 2.2 a 4.0 e sulle versioni 5.0 e 5.1, per una platea di vittime stimata in milioni, data la frammentazione dell’ecosistema mobile di Google.
L’exploit fa leva sul bug CVE-2015-3864 , e come per i precedenti exploit delle vulnerabilità nella libreria Stagefright, che si occupa di generare anteprime e di gestire i metadati dei file, non richiede alla vittima di interagire con il contenuto: Metaphor opera attraverso il browser, e all’utente basta consultare una pagina web compromessa.
L’exploit si dispiega dunque in tre fasi: nel momento in cui la vittima si trova sulla pagina web vettore dell’attacco, un file video creato ad hoc interferisce con il mediaserver dell’OS, causandone il crash. Il codice JavaScript contenuto nella pagina Web attende il riavvio e verifica la presenza della vulnerabilità, comunicando i risultati al server dei malintenzionati. Un secondo file mp4 si occupa di rimettere alla prova la componente Stagefright, mentre altro codice JavaScript si occupa di recapitare le altre informazioni estratte ai server, in particolare riguardo alla localizzazione delle librerie libc.so e libicui8n.so e alla configurazione del memory allocator jemalloc , così da poter aggirare il sistema di ASLR, implementato su Android 5.0 e 5.1 proprio per mitigare i pericoli dei bug di Stagefright, e generare un terzo file mp4, portatore del codice che verrà eseguito attraverso il parsing.
Riguardo all’opera North-Bit si sono già espressi i ricercatori di Zimperium, che per primi hanno individuato le vulnerabilità di Stagefright con due exploit, il secondo dei quali è stato reso solo parzialmente pubblico: il paper su Metaphor, osservano , “fornisce abbastanza dettagli per permettere ai cracker professionisti di mettere a punto un exploit pienamente funzionante e affidabile”.
Gaia Bottà
Ti potrebbe interessare
17 mar 2016