Stagefright, gravi vulnerabilità Android (update)

Oltre 950 milioni di dispositivi Android possono essere attaccati da remoto, a causa di sette vulnerabilità individuate dai ricercatori di Zimperium Mobile Security. I dettagli verranno divulgati nel corso della conferenza Black Hat di inizio agosto, ma l’azienda ha specificato che il problema riguarda il 95% dei device che eseguono il sistema operativo Google. Tra gli smartphone testati, solo per il Nexus 6 è stata rilasciata una patch che risolve alcune vulnerabilità.

Analizzando il codice sorgente di AOSP (Android Open Source Project), Zimperium ha scoperto che i bug risiedono in Stagefright, una libreria che elabora diversi formati multimediali. Sfruttando le vulnerabilità, i malintenzionati potrebbero eseguire codice remoto e rubare informazioni personali memorizzate sullo smartphone o sul tablet. Uno degli exploit non richiede nemmeno l’interazione dell’utente. È infatti sufficiente conoscere il numero di telefono della vittima e inviare un MMS contenente il codice infetto.

Se l’applicazione predefinita è Hangouts, il malware viene eseguito appena arriva la notifica. Altre operazioni, come la visualizzazione del messaggio, la riproduzione e la rotazione del video innescano nuovamente l’esecuzione del codice. Sarebbe anche possibile eliminare l’MMS subito dopo l’invio, in modo che l’utente non si accorga di nulla. Se, invece, l’applicazione predefinita è Google Messenger, la ricezione della notifica non avvia automaticamente il codice.

Zimperium ha segnalato le vulnerabilità a Google e fornito le patch, che l’azienda di Mountain View ha applicato al codice AOSP nelle successive 48 ore. A causa della frammentazione di Android e la lentezza dei produttori nel rilascio degli update, solo pochi dispositivi possono essere ritenuti al sicuro. Il rischio maggiore è per i prodotti che eseguono Android 4.1 Jelly Bean o versioni precedenti.

Aggiornamento (14:20): Questa la posizione ufficiale di Google sulla vicenda, fornita da un portavoce dell’azienda.

Questa vulnerabilità è stata identificata in ambiente di laboratorio sui vecchi dispositivi Android e, per quanto ne sappiamo, nessuno è stato colpito dal virus. Non appena ne siamo venuti a conoscenza, ci siamo subito attivati per inviare ai nostri partner un bug fix per proteggere gli utenti.

Aggiornamento 30 luglio 2015. Commenta l’accaduto il team Fortinet, esperto in cyber security:

Le valutazioni e le ipotesi attuali dei laboratori FortiGuard evidenziano una situazione di sovraccarico del buffer nella library di Stagefright. C’è una funzionalità in tale library che sovralegge il buffer di 4 byte verso destra, cosa che potrebbe colpire una pagina di memoria non mappata. L’ipotesi si basa su recenti commit nella stessa library nel codice sorgente Android e altri sistemi operativi basati su Android.

E aggiunge inoltre due precauzioni adottabili dagli utenti per anestetizzare i possibili pericoli in corso: primo, «Disabilitare il download automatico nelle app utilizzate per gestire questa tipologia di messaggi, come per esempio l’applicazione di messaggistica Android installata di default, Google Hangouts o qualsiasi altra applicazione che si utilizza per ricevere/gestire messaggi sul telefono»; secondo, «Aggiornare il sistema operativo del proprio smartphone Android» in quanto «le patch delle versioni più diffuse sono già state rilasciate e o verranno rilasciate a breve».