Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Pubblicato exploit di Stagefright: milioni di dispositivi Android a rischio

Google  Stagefright   venerdì, 18 marzo 2016

Un gruppo di ricercatori della società di sicurezza israeliana NorthBit ha pubblicato un articolo in cui dimostra la reale sfruttabilità della nota vulnerabilità Stagefright di Android.

Nel lavoro pubblicato vengono descritti nel dettaglio i passi necessari per realizzare l’exploit, battezzato dagli autori Metaphor, che mira a sfruttare la vulnerabilità della libreria multimediale Stagefright (CVE-2015-3864) per ottenere informazioni sul dispositivo sufficienti ad aggirare le difese di sicurezza di Android, nello specifico ASLR (Address Space Layout Randomization). Per realizzare l’attacco descritto è sufficiente indurre l’utente a visitare una pagina Web contenente un video MPEG-4 appositamente predisposto.

Siccome la vulnerabilità risiede nella funzionalità di parsing dei contenuti multimediali della libreria Stagefright, non è neppure necessario che l’utente riproduca il video nel browser per scatenare l’exploit.

Il vettore di attacco è quindi il browser Web dell’utente, con JavaScript abilitato. L’utente può essere indotto a visitare la pagina malevola in vari modi, ad esempio tramite un link in un messaggio di Email o un tweet, un sito Web compromesso con contenuti invisibili, un attacco di tipo cross-site scripting (XSS) o man-in-the-middle (MitM) che inietta i contenuti malevoli nel traffico di rete.

Il documento descrive un processo in quattro fasi per ottenere la piena compromissione di un dispositivo Android:

  • Fase 1: la vittima visita una pagina Web malevola contenente un file video che manda in crash la libreria MediaServer per ripristinare il suo stato interno.
  • Fase 2: non appena MediaServer si riavvia, uno script JavaScript nella pagina invia informazioni sul dispositivo della vittima tramite Internet al server dell’attaccante.
  • Fase 3: il server dell’attaccante restituisce un file video appositamente generato per il dispositivo interessato, che sfrutta la vulnerabilità Stagefright per ottenere ulteriori informazioni sullo stato interno del dispositivo.
  • Fase 4: queste ulteriori informazioni vengono inviate al server dell’attaccante che restituisce un altro file video che incorpora del codice malevolo che viene eseguito sul dispositivo della vittima.

Il team di NorthBit ha realizzato exploit specifici per le versioni di Android dalla 2.2 alla 4.0 (che non implementano ASLR) e dalla 5.0 alla 5.1 con browser Chrome o basato su Chromium. Stando a quanto riportato dagli autori della ricerca, gli exploit hanno funzionato sui dispositivi Nexus 5 con ROM stock, HTC One, LG G3 e Samsung Galaxy S5.

Anche se Google ha rilasciato una patch per la vulnerabilità Stagefright già nel settembre del 2015, la frammentazione di Android e la lentezza con la quale i singoli produttori distribuiscono gli aggiornamenti resta il fattore di maggior rischio per gli utenti di questo sistema operativo mobile.

Secondo i dati pubblicati da Google, circa il 36% dei dispositivi Android è attualmente equipaggiato con le versioni 5.0 e 5.1 (Lollipop) di questo sistema operativo, il che si traduce in circa 500 milioni di dispositivi potenzialmente vulnerabili a questo exploit.

Notizie correlate

Aggiornamento di sicurezza Android (febbraio 2020)

10 febbraio 2020

Google ha rilasciato l'aggiornamento di sicurezza di febbraio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Google risolve diverse vulnerabilità in Chrome 80

5 febbraio 2020

Google ha rilasciato la versione 80 del suo browser Chrome per Windows, macOS e Linux. L'aggiornamento contiene 56 fix di sicurezza e risolve diverse vulnerabilità di cui 11 di gravità elevata.Leggi tutto

Aggiornamento di sicurezza per Google Chrome (16 gennaio 2020)

17 gennaio 2020

Google ha rilasciato un aggiornamento di sicurezza per la versione 79 del suo browser Chrome per Windows, macOS e Linux. L'aggiornamento include 11 fix di sicurezza e risolve diverse vulnerabilità di cui una critica e altre tre di gravità elevata.Leggi tutto