Joshua Drake, il ricercatore di sicurezza di Zimperium Mobile Security che ha scoperto la vulnerabilità Stagefright in Android, ha pubblicato il codice dell’exploit sul blog della software house. Google ha già rilasciato la patch per i Nexus, ma molti smartphone distribuiti da altri produttori e dagli operatori telefonici sono ancora vulnerabili.
La vulnerabilità è presente nella libreria libstagefright che elabora diversi formati multimediali. Per sfruttare il bug è sufficiente inviare un MMS contenente codice infetto che alcune app aprono senza l’intervento dell’utente. Google ha rilasciato nuove versioni di Hangouts e Messenger per disabilitare il recupero automatico dei messaggi MMS. Zimperium sottolinea, tuttavia, che questo è solo uno degli oltre 10 vettori di attacco. I malintenzionati possono utilizzare altri mezzi per eseguire codice remoto sui dispositivi Android (ad esempio, una pagina web visitate con il browser).
L’exploit pubblicato sul sito di Zimperium sfrutta il bug CVE-2015-1538, uno dei più critici presenti nella libreria Stagefright (in totale sono otto). Il codice scritto in Python crea un file MP4 che, se eseguito, permette di accedere alla fotocamera e al microfono dello smartphone, quindi di intercettare le foto scattate dall’utente e registrare le sue conversazioni. L’exploit è stato testato solo su un Nexus con Android 4.0.4 Ice Cream Sandwich e non funziona con Android 5.0 Lollipop. È molto probabile però che il codice non venga bloccato dalle precedenti versioni del sistema operativo, a causa dell’assenza di tecnologie di protezione, come la ASLR.
Oltre a Google, anche Samsung ed LG hanno deciso di distribuire patch di sicurezza con cadenza mensile. Altri produttori, tra cui Motorola, HTC e Sony hanno promesso un aggiornamento per i dispositivi commercializzati negli ultimi due anni. L’app Stagefright Detector consente di verificare se il proprio smartphone è vulnerabile.