[ad#alberto-schiabel-1]
Questo bug risiede in un componente del kernel Android chiamato “Stagefright”: si tratta di una libreria media playback nativa, utilizzata dal sistema operativo per processare, registrare e riprodurre file multimediali.
Di cosa si tratta?
I dettagli sul bug sono stati nascosti al pubblico fino alla conferenza Black Hat a Las Vegas di fine luglio, ma il succo della questione è che si può allegare un malware ad un file video. Tale file multimediale può in seguito essere inviato via MMS, dove scatena la reazione di Stagefright Media Playback Engine, introdotto a partire da Android 2.2.
Nel caso l’ignaro utente sfrutti un’applicazione con supporto al file previewing, quale Hangouts (che può essere impostata come app predefinita per la ricezione dei messaggi), il dispositivo diventa vulnerabile, poiché processerebbe automaticamente il video.
Da chi è stato individuato?
L’exploit è stato reso noto il 21 luglio dall’agenzia di sicurezza mobile Zimperium, durante un’annuncio per la sua partecipazione annuale alla conferenza Black Hat. Quindi, a conti fatti, la vulnerabilità è stata apertamente resa nota esattamente una settimana prima che qualcuno si decidesse ad intervenire.
Quanto è diffuso?
A dire il vero non è stato accertato, ma sapendo che i potenziali dispositivi affetti vanno da Ice Cream Sandwich a Lollipop 5.1, si può stimare un numero attorno ai 900 milioni di device.
Il lato più pericoloso della faccenda è che Stagefright appartiene al core di Android, dunque si trova in profondità nell’OS; più un componente agisce a low-level, più è rischioso un qualsiasi malfunzionamento.
A quanto pare, Zimperium aveva allertato Google ancora tra aprile e maggio, ma non ci è dato sapere se il colosso di Mountain View abbia agito sulla sua linea Nexus, o se qualsiasi altro costruttore abbia rilasciato aggiornamenti per i propri dispositivi. Non c’è da mettere la mano sul fuoco in entrambi gli ipotetici casi.
Quanto c’è da preoccuparsi?
Inutile negarlo, si tratta di una vulnerabilità senza precedenti nella storia del robottino verde, che ha evidenziato (come side effect) anche la difficoltà nel rilascio di aggiornamenti da parte delle aziende costruttrici. Dunque, vista la presenza di Stagefright a partire dal vecchio Froyo 2.2, si può considerare il bug una bomba ad orologeria, che però è rimasta per la maggiorparte del tempo quiescente.
Le buone notizie sono che apparentemente non si ritiene che qualcuno sia intenzionato a lanciare l’exploit contro questa falla
Come può essere sfruttato?
In questo video è possibile vedere come, semplicemente aprendo un file .mp4 mal formattato, si vada incontro ad un crash ciclico del Media Playback Engine. L’applicazione in questione è una semplice MainActivity Android artigianale per leggere e riprodurre video.
httpvh://youtu.be/_gTuuMGQSHU
In quest’altro video, invece, si può vedere come si possa sfruttare il bug semplicemente con l’apertura di un link web. In questo caso, l’applicazione in questione è Twitter, vulnerabile per via del suo preloading in fare di anteprima video.
httpvh://youtu.be/xj1hKZ8SeHY
Cosa dice google?
Ecco una breve dichiarazione dell’ingegnere capo per la sicurezza di Google Android:
Attualmente, il 90% dei dispositivi Android ha una tecnologia abilitata chiamata ASLR, che protegge gli utenti dalla problematica.
[Adrian Ludwig]
Questa affermazione ovviamente è molto in contrasto con le voci di circa 900 milioni di dispositivi Android vulnerabili. Trattando quindi con molta cura la veridicità di questi numeri, secondo Ludwig chiunque abbia almeno la versione 4.0 Ice Cream Sandwich ha una protezione integrata agli attacchi di tipologia “buffer overflow”.
ASLR (Address Space Layout Randomization) è un metodo basato sull’imprevedibilità che previene la possibilità che un hacker possa trovare con certezza la funzione su cui lanciare il proprio exploit. Si basa sulla gestione casuale dell’assegnazione di indirizzi di memoria in base ad un processo, ed è presente nel Kernel Linux default da giugno 2005. Tale tecnica consente non solo di gestire in sicurezza l’eseguibile, ma anche lo stack, l’heap e le librerie esterne.
In poche parole, le aree chiave del programma o del servizio in esecuzione non sono mai messe nella stessa allocazione di RAM, il che impone che un potenziale mobile attacker debba indovinare dove andare a guardare per trovare i dati a lui necessari.
È chiaro come questo bugfix non sia eccellente, poiché le possibilità di trovare l’indirizzo giusto, con i mezzi adeguati, non sono così tanto basse come vorrebbe far credere Big G.
In ogni caso, abbiamo bisogno di patch mirate; sembra che Google, Samsung, Alcatel, Sony, HTC e LG si siano già mobilitate e abbiano annunciato l’uscita dell’update entro questo mese.
Cosa ne pensate di questa storia? Scrivete i vostri commenti a riguardo.
Non ci ho capito una minchia. Vabbè che di android ne so poco e nulla, ma sembra scritto coi piedi sto articolo. E non è il primo che lo scrive così. Buttatelo fuori a questooooo
Se non hai capito nulla il problema e’ esclusivamente tuo.
si, l’articolo è scritto piuttosto bene per gli standard tecnici di androidiani.. se non hai capito nulla ti consiglio un bel giretto su google-wikipedia..
Sinceramente l’articolo è scritto anche abbastanza bene.
Ehm impara a shishare
L articolo è scritto bene chiaro e mi pare che senza tanti tecnicismi…. Non è questione di non sapere di Android ma più i generale lacune di informatica… Forse prima di attaccare dovresti studiare un po’ di più ;-)
Certo, allertare i lettori riguardo un malware allegabile su un video e poi proporre agli stessi lettori di guardare un video è un po’ sospetto!??
Hahahahahahahahahahahahahahahahahahahahahahaha anche io l ho pensato… magari è tutto un complotto…
Gombloddo
No, i video non li voglio aprire!
secondo me il capo della sicurezza android ha ragione, il 90% dei cell android è comunque protetto, insomma, con 900 milioni di smartphone potenzialmente esposti si sarebbe già dovuto scatenare un armageddon, invece così non è stato
Ciao io ho fatto l’aggiornamento del mio note 3 e ora risulta non vulnerabile. Però dalle 7 alle 10 applicazioni sono state disinstallate d’ufficio e un altra trentina non funzionano più incluso il play Store e in generale il play service che crasha sempre. … qualche idea su come risolvere?
Ciao, prova a porre il quesito nel forum, abbiamo numerosi collaboratori sempre pronti a dare una mano!
Ciao Alberto,
grazie per la segnalazione nel frattempo visto che potevo solo telefonare ho fatto un reset e con un backup ho recuperato quasi tutto. però provo lo stesso giusto come caso di studio, sembrava comunque qualcosa a carico del playservice, che è stato rimosso di forza dallo smartphone.
Se pensi possa essere d’aiuto anche a più persone, magari dopo aver trovato la risposta notificacelo, in modo tale da scrivere qualcosa che possa dare una mano ai nostri utenti!
Io ho scaricato l’app Stagefright Detector (Zimperium INC) però ho visto che c’è ne due anche la (Lookout Mobile Security) quale delle due scaricare???