Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Stagefright 2.0: tutti i dispositivi Android potenzialmente a rischio

Stagefright   venerdì, 2 ottobre 2015

I ricercatori di Zimperium zLabs hanno scoperto due nuove vulnerabilità di Android, battezzate Stagefright 2.0, che si manifestano durante l’elaborazione di file multimediali audio MP3 o video MP4 appositamente predisposti dai potenziali attaccanti.

La prima vulnerabilità, presente nella libreria libutils, affligge praticamente tutte le versioni di Android a partire dalla 1.0. Questa vulnerabilità può essere sfruttata nei dispositivi che eseguono la versione 5.0 o superiore di Android attraverso la seconda vulnerabilità, presente in libstagefright. Lo sfruttamento di queste vulnerabilità può portare all’esecuzione di codice arbitrario.

Le vulnerabilità sono legate alla gestione dei metadati presenti all’interno dei file multimediali. La semplice visualizzazione di un’anteprima della canzone o del video può quindi scatenare l’exploit. Il vettore di attacco è principalmente il browser Web e i possibili scenari sono i seguenti:

  • un utente malintenzionato potrebbe tentare di convincere un utente ignaro a visitare un URL che punta a un sito Web malevolo che contiene l’exploit;
  • un attaccante sulla stessa rete della vittima potrebbe iniettare l’exploit intercettando il traffico in chiaro destinato al browser con tecniche di tipo Man in the Middle (MITM);
  • l’utente installa applicazioni di terze parti (lettori multimediali, app di messaggistica, ecc.) che utilizzano la libreria vulnerabile.

Zimperium ha comunicato l’esistenza di Stagefright 2.0 al Security Team di Google lo scorso 15 agosto. Google ha assegnato alla vulnerabilità in libutils il codice CVE-2015-6602. Un fix per queste falle è previsto il prossimo 5 ottobre sugli smartphone e i tablet della linea Nexus di Google. Per quanto riguarda i dispositivi di altri produttori e operatori telefonici si auspicano aggiornamenti nel più breve tempo possibile.

Notizie correlate

Google risolve otto vulnerabilità critiche di Android sui dispositivi Nexus

5 aprile 2016

Google ha rilasciato l'aggiornamento di sicurezza di aprile che risolve svariate vulnerabilità nel sistema operativo Android. L’aggiornamento risolve un totale di 29 problemi di sicurezza di cui otto critici e altri 13 di gravità elevata.Leggi tutto

Pubblicato exploit di Stagefright: milioni di dispositivi Android a rischio

18 marzo 2016

Un gruppo di ricercatori della società di sicurezza israeliana NorthBit ha pubblicato un articolo in cui dimostra la reale sfruttabilità della nota vulnerabilità Stagefright di Android.Leggi tutto

Stagefright: nuove gravi vulnerabilità in Android

28 luglio 2015

Sette nuove vulnerabilità in una libreria multimediale di Android possono essere potenzialmente sfruttate da remoto per compromettere oltre 950 milioni di dispositivi.Leggi tutto