Poco tempo addietro abbiamo parlato di Stagefright, insidiosa vulnerabilità individuata nella libreria omonima di Android da Joshua Drake, ricercatore dei Zimperium zLabs.
La vulnerabilità in questione è stata definita (da Wired) la peggiore di sempre, un bug intrinseco nel sistema di messaggistica Android che secondo le stime dei ricercatori riguarda circa 950 milioni di dispositivi in circolazione in tutto il mondo. Il problema riguarda la modalità con la quale i dispositivi Android elaborano i filmati e in particolare le funzionalità integrate per la gestione degli MMS. Eventuali pirati sarebbero in grado di sfruttare il bug inviando codice malevolo nascosto all’interno di apparentemente innocente messaggio con un filmato. Dopo l’apertura del messaggio, il malintenzionato sarebbe in grado di eseguire codice in remoto, ascoltare il microfono, avviare la fotocamera e altre funzioni ancora. In alcuni casi non è neanche necessario che il destinatario del messaggio apra il testo inviato.
Vari produttori hanno promesso patch ma ancora molti le devono rilasciare e già sono state scoperte varianti della vulnerabilità. Stagefright 2.0, cosi è stato ribattezzato il nuovo set di vulnerabilità, consente l’esecuzione di codice arbitrario integrato in file audio MP3 e file video MP4. Il primo bug è stato individuato nella libreria libutils, di serie con tutte le versioni del sistema operativo Google, da Android 1.0 del 2008 in poi; il secondo è presente nella libreria libstagefright utilizzata per l’elaborazione dei file multimediali sui dispositivi più nuovi (Android 5.0 e seguenti).
Il nuovo attacco può essere portato a termine con tecniche di mobile spear-phishing o false campagne pubblicitarie che invitano l’utente ad aprire un sito web ad hoc. Zimperium ha già segnalato il problema a Google e sembra che per i Nexus un fix sarà disponibile la prossima settimana; il problema, come sempre, rimangono i dispostivi degli altri produttori… non è chiaro se e quando arriveranno patch specifiche…
