La vulnerabilità Stagefright su Android sarà risolta e sarà l’occasione per lanciare il più grande update software di tutti i tempi, parola di Adrian Ludwig, lead engineer responsabile della sicurezza Android in Google. “Centinaia di milioni di dispositivi saranno aggiornati nei prossimi giorni. Sarà incredibile”.
Una patch è prevista per i dispositivi Nexus, ma anche Samsung, Motorola, HTC, LG, Sony, Android One e centinaia di altri produttori hanno intenzione di rilasciare patch specifiche. “La recente problematica di sicurezza ha costretto molti a ripensare l’approccio sulla sicurezza per i dispositivi prevedendo maggiore tempestività” ha detto Dong Jin Koh, EVP di Samsung Electronics, responsabile ricerca e sviluppo della divisione Mobile Office dell’azienda. “Poiché nei software sono costantemente individuati nuovi exploit, lo sviluppo di procedure veloci di risposta per fornire patch di sicurezza ai nostri dispositivi, diventa critico al fine di proteggerli”. “Riteniamo”, ha aggiunto Dong Jin Koh, “che questo procedimento migliorerà in modo ampio la sicurezza dei nostri dispositivi mirando a fornire la migliore esperienza mobile possibile ai nostri utenti”.
Nel frattempo Google, Samsung e LG affermano che si impegneranno a rilasciare aggiornamenti di sicurezza mensili per la risoluzione di future problematiche legate al sistema operativo. Molti aggiornamenti sono stati per anni disponibili per i vari produttori, ma molti di questi non li hanno rilasciati per i dispositivi commercializzati. L’intenzione è ora di rilasciare aggiornamenti, supportando i dispositivi per almeno tre anni dopo il loro rilascio. “Abbiamo osservato gli eventi delle ultime settimane e compreso la necessità di muoversi rapidamente” ha detto Ludwig.
La vulnerabilità Stagefright è molto pericolosa, giacché riguarda il 95% dei dispositivi Android in circolazione, ovvero circa 950 milioni di smartphone. I dispositivi più vecchi, con versione del sistema operativo Android inferiore alla 2.2, non corrono pericolo e sono al sicuro anche i dispositivi Blackphone di Silent Circle più moderni, ai quali sono già state applicate le patch. Per portare a termine l’attacco a un malintenzionato basta il numero di telefono: questo è sufficiente per iniettare un codice dannoso sul telefono attraverso un MMS. L’infezione comincia alla ricezione, non c’è neanche bisogno di aprire il messaggio (sarà lo stesso sistema operativo a farlo). La vulnerabilità risiede nella libreria del sistema nota come “Stagefright” e da qui il nome dato all’exploit.
