I tecnici di Zimperium, la società che aveva acceso un faro su una pericolosa vulnerabilità presente in tutte le versioni di Android (dalla vecchia 2.2 “Froyo” sino ad arrivare alla recente 5.1 “Lollipop”), ha pubblicato il codice exploit che consente di prendere possesso, da remoto, di un qualunque smartphone o phablet affetto dal problema.
Il pericoloso bug, lo ricordiamo, è quello legato all’utilizzo della libreria Stagefright in Android che si occupa della gestione degli elementi multimediali. Sui device che accettano la ricezione degli MMS, la presenza del bug nella libreria Stagefright rappresenta un rischio notevole: un aggressore remoto, infatti, può inviare un MMS malevolo, opportunamente “confezionato”, e provocare l’esecuzione di codice che porta all’acquisizione dei diritti root.
Non è necessario che il dispositivo Android sia stato sottoposto a rooting perché è proprio facendo leva sulla “libertà d’azione” che Android conferisce a Stagefright che un malintenzionato può fare piazza pulita dei dati personali altrui o caricare codice nocivo sul dispositivo remoto.
Lo avevamo spiegato nell’articolo Vulnerabilità Android affligge il 95% dei dispositivi.
Il codice Python, appena pubblicato, e visibile in calce a questa pagina provvede ad inviare un MMS malevolo verso il dispositivo preso di mira quindi, dopo aver fatto leva sulla vulnerabilità eventualmente presente nella libreria Stagefright, ne assume il controllo remoto.
Il codice exploit è lo stesso che è stato sfruttato per realizzare il video che pubblicammo già all’inizio di agosto:
Non si pensi di essere immuni a Stagefright solo perché non si usano gli MMS. Se lo smartphone Android è correttamente configurato per ricevere gli MMS (è impostato l’APN dell’operatore di telefonia mobile ed installata un’app che permette la corretta gestione degli MMS in arrivo) ed usa una versione del sistema operativo non aggiornata, si è a rischio di attacco.
Per proteggersi dall’attacco a Stagefright consigliamo, quindi, di comportarsi così come segue:
1) Controllare se il proprio dispositivo fosse vulnerabile scaricando ed installando questa app gratuita (maggiori informazioni: Dispositivo Android vulnerabile all’attacco Stagefright?).
2) Se il device risultasse vulnerabile, verificare se fossero disponibili aggiornamenti ufficiali rilasciati dal produttore del dispositivo. In caso affermativo, si dovrà procedere alla loro tempestiva installazione ricontrollando poi, usando sempre la medesima app, l’effettiva risoluzione del problema.
3) Nel caso in cui non fossero disponibili patch ufficiali, è consigliabile disattivare la ricezione degli MMS eliminando l’APN corrispondente dalle impostazioni di Android quindi toccando Altro in corrispondenza di Wireless e reti, Reti mobili e Nomi punti di accesso.
Come spiegato nell’articolo Proteggere Android dall’attacco Stagefright, è bene disattivare poi la gestione degli MMS in ingresso dall’app usata per la messaggistica (di solito Messaggi, Google Messenger o Google Hangout). Così facendo, il codice exploit non verrà mai eseguito, anche nella malaugurata ipotesi in cui si dovesse ricevere un MMS malevolo.
4) Valutare eventualmente l’installazione di una ROM personalizzata e, quindi, di una versione di Android più recente. Anche sui dispositivi mobili più datati, infatti, è generalmente possibile passare ad una versione di Android più aggiornata, sempre adeguata – con l’aggiunta delle patch più recenti – dalla comunità degli sviluppatori.
A tal proposito, suggeriamo la lettura degli articoli Installare ROM Android e aggiornare all’ultima versione e Vulnerabilità Android: ancora su Stagefright.