Un ricercatore che si occupa di sicurezza e privacy ha scoperto che molti dispositivi che montano Android come sistema operativo sono violabili con il solo e semplice invio di un MMS creato ad hoc.
Questo exploit, non molto rassicurante per tutti gli utenti Android, è stato creato da Joshua Drake, vicepresidente del settore ricerca e vulnerabilità mobile di Zimperium, società che si occupa di sicurezza. Questa vulnerabilità è sfruttabile con molta facilità, basta solo sapere il numero di telefono dove inviare il messaggio MMS.
Un ricercatore ha scoperto che molti dispositivi Android sono violabili con il solo invio di un semplice MMS creato ad hoc
Diverse sono le vulnerabilità che Drake ha riscontrato in Stagefright, una componente di Android sfruttata per registrare e riprodurre files multimediali. A causa delle sue falle, è possibile eseguire codice remoto tramite la ricezione di un MMS o scaricare direttamente video dal browser creati appositamente per attaccare il sistema operativo.
Lo stesso Drake ha poi spiegato come questa componente sia utilizzata spesso per ricevere contenuti multimediali da diverse sorgenti, così da moltiplicare le possibilità d’attacco.
Stagefright non viene solo usato per la riproduzione multimediale: Android lo sfrutta per generare miniature o per estrarre metadati dai file video come ad esempio le dimensioni dello stesso, il frame rate, i canali, etc. Ciò rende bene l’idea su quanto siano facili da sfruttare tali vulnerabilità, a tal punto che non è strettamente necessario riprodurre un video per mettersi in pericolo.
Joshua Drake non ha trovato solo le vulnerabilità, ma si è adoperato anche al fine di creare le patch necessarie a tappare queste falle. Google, dal canto suo, le ha ricevute a cavallo fra la fine di aprile e l’inizio di maggio; ha preso la cosa molto seriamente, rilasciando le correzioni in 48 ore. A causa dei ritmi molto lenti nell’ottenere gli aggiornamenti Android, molti dispositivi sono tuttora vulnerabili e non si sa ancora se (e quando) riceveranno queste correzioni; le versioni di Android vulnerabili partono dal 2.2 a salire, quindi molti smartphone o tablet non avranno mai la possibilità di ricevere le patch, oltre a portarsi dietro altre vecchie problematiche.
[Update 28/07]
Un portavoce di Google ci ha fatto sapere che:
“Questa vulnerabilità è stata identificata in ambiente di laboratorio sui vecchi dispositivi Android e, per quanto ne sappiamo, nessuno è stato colpito dal virus. Non appena ne siamo venuti a conoscenza, ci siamo subito attivati per inviare ai nostri partner un bug fix per proteggere gli utenti”.
