Ricercatori della società Zimperium Mobile Security hanno individuato quella che potrebbe essere la peggior vulnerabilità di Android. Si tratta di “Stagefright”, un bug nella messaggistica che secondo le stime dei ricercatori riguarda circa 950 milioni di dispositivi in circolazione in tutto il mondo, per con versioni di Android precedenti a Jelly Bean. Google ha già rilasciato una patch ma molti produttori non hanno a loro volta reso disponibile l’update per i rispettivi clienti, per questo siamo di fronte ad un problema molto serio.
Non sono al momento noti i dettagli del potenziale attacco; informazioni specifiche saranno rilasciate il prossimo mese nel corso della Black Hat conference ma a quanto pare di capire il problema riguarda la modalità con la quale i dispositivi Android elaborano i filmati e in particolare le funzionalità integrate per la gestione degli MMS. Eventuali pirati sarebbero in grado di sfruttare il bug inviando codice malevolo nascosto all’interno di apparentemente messaggio con un filmato. Dopo l’apertura del messaggio, il malintenzionato sarebbe in grado di eseguire codice in remoto, ascoltare il microfono, avviare la fotocamera e altre funzioni ancora. In alcuni casi non è neanche necessario che il destinatario del messaggio apra il testo inviato.
Google ha risolto il problema ma la distribuzione della patch è complicata dalla diffusa frammentazione dell’ecosistema Android. Si calcola che però solo sul 12% dei dispositivi in circolazione sia presente l’ultima release del sistema; molti carrier non hanno mai preparato o proposto update, rendendo impossibile la soluzione a questo e altri problemi di lunga data. Molti problemi di sicurezza che riguardano le app si possono normalmente risolvere scaricando le versioni più aggiornate delle app dal Play Store ma inconvenienti come quello dell’insicurezza nella gestione degli SMS possono essere risolti solo aggiornando il sistema operativo.
