La libreria Stagefright utilizzata in Android torna a far parlare di sé. Zimperium, la stessa società che aveva scoperto una prima pericolosa falla in Stagefright (può essere sfruttata disponendo l’invio di un MMS malevolo verso il dispositivo Android vulnerabile; vedere Vulnerabilità Stagefright su Android, ecco il codice exploit, articolo contenente anche le soluzioni pratiche per proteggersi), lancia un nuovo allarme e spiega di aver individuato, nella medesima libreria usata dal robottino verde di Google, ulteriori due nuove vulnerabilità.
“Si tratta delle due più gravi vulnerabilità scoperte in Android alla data odierna“, ha commentato uno dei ricercatori che si sono concentrati sulle lacune della libreria Stagefright.
Questa volta non è l’invio di un MMS a provocare l’esecuzione di codice dannoso sul dispositivo Android ma, ancor più semplicemente, la gestione di file MP3 e MP4 preparati “ad arte” da parte di un aggressore o di un gruppo di criminali informatici.
La falla in Stagefright ha a che fare con l’elaborazione dei metadati presenti nei file MP3 e MP4: la semplice generazione dell’anteprima di un video o di un brano musicale può quindi portare all’esecuzione del codice nocivo.
Basta quindi che l’utente Android apra, con il browser web o con un’app di messaggistica, un contenuto MP3/MP4 malevolo per aprire le porte all’attacco remoto.
Al momento neppure Google ha pubblicato l’aggiornamento risolutivo che però, stando a quanto riferito, dovrebbe arrivare – appannaggio dei possessori di dispositivi Nexus – il prossimo 5 ottobre.
Zimperium si è guardata bene dal pubblicare il codice exploit per sfruttare le ulteriori due lacune di sicurezza di Stagefright e provvederà ad aggiornare l’app Statefright Detector solamente dopo che saranno rilasciate le patch ufficiali.
Un portavoce di Google ha fatto presente che un “fix” è già stato girato ai principali produttori di device Android oltre che agli operatori di telecomunicazioni partner dell’azienda di Mountain View.