Una vulnerabilità estremamente grave che interessa il 95% dei dispositivi Android e qualcosa come 950 milioni di dispositivi mobili a livello mondiale.
Così gli esperti di Zimperium, società di San Francisco attiva nel campo della sicurezza informatica (con particolare riguardo a quella “mobile”), hanno descritto il bug di sicurezza individuato tra le “pieghe” del codice di Android.
Secondo Joshua J. Drake, uno dei responsabili di Zimperium, la vulnerabilità messa a nudo sarebbe un po´ il sacro Graal dei malintenzionati. Essa, infatti, permetterebbe di eseguire codice nocivo sul dispositivo Android senza che il proprietario dello smartphone o del phablet si accorga di nulla.
Il problema, si spiega da Zimperium, risiederebbe nella libreria Stagefright di Android, deputata alla gestione degli elementi multimediali. Dal momento che una rapida elaborazione dei file memorizzati nei principali formati multimediali è fondamentale, la libreria in questione è stata sviluppata ricorrendo al C++ invece che a Java. “Una scelta che però comporta dei rischi perché rende più semplice per un aggressore alterare il contenuto della memoria“, si osserva dall’azienda d’Oltreoceano.
Così, facendo leva sul pericoloso bug, un aggressore remoto potrebbe semplicemente inviare un MMS sul dispositivo mobile della vittima e provocare l’esecuzione di codice dannoso.
L’operazione potrebbe essere effettuata, ad esempio, di notte (quando il proprietario del telefono dorme) e cancellare le tracce della razzìa in maniera tale che – al suo risveglio – l’utente preso di mira non realizzi l’accaduto e non trovi nulla di cui insospettirsi.
Drake ed il suo tempo spiegano che il malintenzionato, dopo aver condotto in porto l’attacco, può anche rimuovere definitivamente l’MMS da cui tutto ha avuto inizio.
Diversamente rispetto alle tradizionali tipologie di aggressione, quella descritta da Zimperium appare particolarmente efficace perché non implica una qualche interazione da parte della vittima.
Tutte le versioni di Android dalla 2.2 alla 5.1 comprese sarebbero a rischio. Google, che ringrazia per il lavoro svolto dai tecnici di Zimperium, ha già risolto la falla che appare sanata già nell’ultima release AOSP di Android.
Il problema, tuttavia, è che sono i vari produttori dei dispositivi mobili a dover rilasciare aggiornamenti. Ed è proprio questo il punto più delicato: com’è noto, la stragrande maggioranza dei device Android più vecchi non viene aggiornata ed è abbandonata al suo destino dai produttori.
L’unica soluzione, in questi casi, potrebbe consistere nell’installazione di una ROM aggiornata: Installare ROM Android e aggiornare all’ultima versione.
Nel caso di specie, comunque, non è chiaro se una semplice disabilitazione degli MMS permetta di evitare ogni rischio. Zimperium, infatti, non l’ha specificato (vedere questa pagina) rimandando la diffusione di maggiori dettagli a due appuntamenti: la prossima edizione della Black Hat 2015 e il Def Con di agosto.
Se la disabilitazione degli MMS fosse sufficiente per “dribblare” il problema, potrebbe essere una soluzione praticabile da parte dei più dal momento che quelli che avrebbero dovuto raccogliere l’eredità degli SMS non sono mai divenuti popolari e sono stati ormai soppiantati dalle tante app di messaggistica.
Per disattivare gli MMS basterebbe infatti accedere alle impostazioni di Android, alla sezione Reti mobili quindi eliminare l’APN per la gestione degli MMS da Nomi punti di accesso.
Aggiornamento: Google, attraverso un suo portavoce, ci ha fatto pervenire il seguente chiarimento: “Questa vulnerabilità è stata identificata in ambiente di laboratorio sui vecchi dispositivi Android e, per quanto ne sappiamo, nessuno è stato colpito dal virus. Non appena ne siamo venuti a conoscenza, ci siamo subito attivati per inviare ai nostri partner un bug fix per proteggere gli utenti“.