Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Stagefright: nuove gravi vulnerabilità in Android

Stagefright   martedì, 28 luglio 2015

I ricercatori di Zimperium Mobile Security hanno annunciato la scoperta di sette vulnerabilità di Android, di tipo remote code execution, che possono essere potenzialmente sfruttate da remoto per attaccare il 95% dei dispositivi mobili dotati del sistema operativo di Google, che ammonta ad oltre 950 milioni di dispositivi.

Zimperium ha analizzato il codice sorgente di AOSP (Android Open Source Project), scoprendo che le falle risiedono in Stagefright, una libreria di sistema che elabora diversi formati multimediali. Sfruttando tali vulnerabilità, un attaccante potrebbe eseguire codice arbitrario da remoto e rubare informazioni personali memorizzate sul dispositivo bersaglio. L’attacco può essere condotto tramite un file multimediale malevolo appositamente predisposto e inviato tramite MMS, semplicemente conoscendo il numero di telefono della vittima. In una versione sofisticata dell’attacco il messaggio potrebbe anche essere eliminato prima di essere visualizzato, in quanto la semplice ricezione della notifica potrebbe essere sufficiente ad eseguire il codice malevolo. Queste vulnerabilità sono estremamente pericolose perché in alcuni casi non richiedono alcuna specifica azione da parte dell’utente per attivare il malware. Potenzialmente la vulnerabilità può essere sfruttata anche durante la notte, basta che lo smartphone sia accesso: prima che l’utente si svegli, l’attaccante avrà già rimosso dal dispositivo tutti i segni della compromissione e la vittima si ritroverà inconsapevolmente con un dispositivo infetto da un trojan.

Le vulnerabilità di Stagefright affliggono tutte le versioni di Android a partire dalla 2.2. I dettagli delle vulnerabilità verranno divulgati nel corso delle conferenza Black Hat USA e DEF CON 23 che si terranno in Agosto. Nel frattempo Zimperium ha già segnalato le vulnerabilità a Google e fornito le patch, che l’azienda di Mountain View ha applicato al codice AOSP nelle successive 48 ore. Sfortunatamente, a causa della frammentazione di Android e della lentezza dei produttori nel distribuire gli aggiornamenti di sistema, solo pochi dispositivi sono al sicuro. In particolare, il rischio maggiore è per i dispositivi che eseguono Android 4.1 Jelly Bean e versioni precedenti.

Nell’attesa di un aggiornamento del proprio dispositivo mobile, ci sono una serie di precauzioni che possono essere prese per mitigare l’effetto di queste vulnerabilità (le specifiche impostazioni dipendono dal dispositivo e dalla versione di Android):

  • bloccare tutti i messaggi provenienti da fonti sconosciute;
  • disabilitare l’impostazione di recupero automatico MMS;

Notizie correlate

Google risolve otto vulnerabilità critiche di Android sui dispositivi Nexus

5 aprile 2016

Google ha rilasciato l'aggiornamento di sicurezza di aprile che risolve svariate vulnerabilità nel sistema operativo Android. L’aggiornamento risolve un totale di 29 problemi di sicurezza di cui otto critici e altri 13 di gravità elevata.Leggi tutto

Pubblicato exploit di Stagefright: milioni di dispositivi Android a rischio

18 marzo 2016

Un gruppo di ricercatori della società di sicurezza israeliana NorthBit ha pubblicato un articolo in cui dimostra la reale sfruttabilità della nota vulnerabilità Stagefright di Android.Leggi tutto

Stagefright 2.0: tutti i dispositivi Android potenzialmente a rischio

2 ottobre 2015

I ricercatori di Zimperium zLabs hanno scoperto due nuove vulnerabilità di Android nella riproduzione di file audio MP3 e video MP4.Leggi tutto