Android

Stagefright 2.0: un miliardo di smartphone Android vulnerabili

Oltre 1 miliardo di smartphone e dispositivi Android sono vulnerabili a una nuova falla di sicurezza nominata Stagefright 2.0, avvertono gli esperti. Il seguito del bug Stagefright, che permetteva agli hacker di assumere il controllo di uno smartphone Android inviando un messaggio MMS, dipende da un problema Android che consente a un utente malintenzionato di assumere il controllo di uno smartphone tramite un MP3 o video MP4.

Mark James, specialista di sicurezza di ESET ha detto: “Visitare un sito web e visualizzare in anteprima una canzone o un video infettato potrebbe consentire al malintenzionato di accedere al vostro dispositivo mobile ed eseguire codice da remoto, in teoria, permettendo l’accesso completo al dispositivo per di fare ciò che vuole, tra cui installare altro malware, o semplicemente raccogliere dati da utilizzare in un furto di identità”.

La vulnerabilità Stagefright 2.0 interessa anche quegli smartphone che hanno sistemato il bug Stagefright originale, come i dispositivi Nexus e i Samsung Galaxy S6. “La prima vulnerabilità impattava su quasi ogni dispositivo Android a partire dalla versione 1.0 rilasciata nel 2008. Abbiamo trovato metodi per attivare la vulnerabilità nei dispositivi con Android 5.0 Lollipop utilizzando la seconda vulnerabilità (contenuta nella libreria libstagefright)”, ha detto Zimperium, la società che per prima ha scoperto l’originale bug Stagefright.

stagefright-2-informatblog

I buchi di sicurezza si trovano all’interno dei sistemi di elaborazione multimediale di Android, che possono essere sfruttati consentendo potenzialmente l’accesso al resto dello smartphone utilizzando file audio MP3 appositamente predisposto o video MP4 – entrambi formati comuni per le canzoni e i video.

“La prima versione di Stagefright richiedeve alcune informazioni come il numero di cellulare per essere in grado di inviare il messaggio di testo al dispositivo”, dice James. Questa nuova versione non deve nemmeno conoscere le vostre informazioni per andare a segno. Questo, in teoria, la pone un rischio per un pubblico molto più ampio e di fatto potrebbe consentire l’accesso a più di 1 miliardo di dispositivi Android“.

Stagefright 2.0: un problema critico

Google è stato notificato del bug il 15 agosto. L’azienda ha riconosciuto Stagefright 2.0, dicendo che “questo problema è valutato con un livello di gravità critica grazie alla possibilità di esecuzione di codice da remoto con il servizio MediaServer che ha accesso a stream audio e video, così come l’accesso ai privilegi a cui le applicazioni di terze parti non possono normalmente accedere”.

I bug saranno risolti nell’aggiornamento mensile di ottobre per gli smartphone Nexus. Le patch per gli altri smartphone saranno fornite a discrezione dei produttori e dei fornitori di telefonia mobile. Google ha fornito le correzioni per i produttori il 10 settembre. Nel frattempo Google, LG, Samsung e altri si sono impegnati a rilasciare aggiornamenti di sicurezza mensili per gli smartphone sulla scia del bug Stagefright originale.

La società di sicurezza Symantec rileva che non ci sono state segnalazioni di Stagefright 2.0 sfruttate, ma che “finché non viene applicata una patch occorre procedere con cautela quando si utilizza il browser del cellulare per visualizzare un’anteprima audio e video non richiesta”.

“Dovete assolutamente pensare prima di aprire i siti web, troppo spesso le persone non riescono a capire che i loro dispositivi mobili sono altrettanto a rischio come gli utenti desktop”, ha detto James. (Fonte)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti