Trend Micro ha scoperto una nuova vulnerabilità nel sistema operativo Google che potrebbe rendere inutilizzabili gli smartphone. Il bug è presente in Android 4.3 Jelly Bean e nelle versioni successive, quindi incluso Android 5.1.1 Lollipop. In base agli ultimi dati disponibili, oltre il 50% dei dispositivi è in pericolo. L’azienda di Mountain View è stata informata, ma non ha ancora rilasciato una patch risolutiva.
La vulnerabilità può essere sfruttata in due modi: attraverso un’app o un sito web. Nel primo caso è sufficiente includere nell’app un file MKV che viene eseguito automaticamente ad ogni riavvio dello smartphone, mentre nel secondo caso il file MKV viene nascosto nel codice HTML della pagina. Per certi versi, il funzionamento è simile al bug Stagefright, in quanto riguarda l’errata gestione dei contenuti multimediali da parte di Android, anche se le modalità di attacco sono differenti.
Il componente vulnerabile è il servizio mediaserver che viene usato per indicizzare i file multimediali presenti sul dispositivo. Quando mediaserver effettua il parsing del file MKV malformato, si verifica un integer overflow, quindi il servizio va in crash e con esso l’intero sistema operativo. Se lo smartphone è bloccato, non può essere sbloccato. L’interfaccia diventa molto lenta e vengono disattivati tutti i suoni. L’utente non sentirà nessuna notifica e non potrà effettuare o ricevere nessuna chiamata. Sebbene Chrome non permetta la riproduzione automatica dei video, il file MKV provoca un consumo eccessivo di RAM e il servizio va in crash lo stesso.
La segnalazione è stata inviata da Trend Micro il 15 maggio e, cinque giorni dopo, Google ha attribuito alla vulnerabilità una bassa priorità, ovvero il livello di gravità minore. Per disinstallare l’app responsabile del blocco temporaneo è sufficiente riavviare lo smartphone in modalità provvisoria (mantenere premuto il pulsante Power e premere a lungo su Spegni). Attualmente non ci sono exploit in circolazione, quindi la patch verrà inclusa in futura versione di Android.