Più di un mese dopo aver rivelato la vulnerabilità Stagefright su Android, la società di sicurezza mobile Zimperium ha pubblicato i dettagli sulla sua scoperta.
Il bug, scoperto all’inizio di quest’anno dal ricercatore Joshua Drake, è stato contrassegnato come estremamente pericoloso poiché l’aggressore deve avere solo il numero di telefono per effettuare un hack via testo. Non c’è bisogno di aprire un file o fare clic su un link; l’attacco potrebbe verificarsi mentre si dorme, beatamente ignari che le foto private, le informazioni sui contatti in Rubrica o quelle bancarie e deisiti web sono state carpite.
Circa il 95% dei dispositivi Android o 950 milioni di smartphone erano vulnerabili, ha detto l’azienda.
Perché rivelare i dettagli, allora? Le patch sono stati rilasciate da Google per i suoi Nexus, e dai principali produttori del mondo Android ma permangono preoccupazioni. Mettere il codice a disposizione del pubblico in generale ha permesso al “team di sicurezza, OEM, partner, sviluppatori e tester di controllare se i sistemi restano o meno vulnerabili”, ha detto Zimperium.
“Stiamo lavorando a stretto contatto con i partner per la correzione di Stagefright”, ha detto un portavoce di Google a PCMag in una e-mail. “Nexus Player e Nexus 4/5/6/7/9/10 sono già stati corretti e continueranno a ricevere gli aggiornamenti di sicurezza mensili che proteggeranno ulteriormente gli utenti.”
Il codice scritto in Python rilasciato dai ricercatori è in grado di generare un file video in formato MP4, o aprire una shell di comando con il semplice invio del codice malevolo su un terminale non aggiornato: una volta aperta la shell è possibile sentire da remoto le comunicazioni audio o scattare fotografie con la fotocamera integrata.
Il gigante tecnologico ha rilasciato un aggiornamento enorme per i telefoni Android per combattere Stagefright, ma il problema è ancora molto diffuso. C’è da far notare che chi possiede Lollipop può dormire sonni tranquilli, infatti il codice non funge su questa versione. Ma nei device che possiedono Android KitKat o inferiore, e ne possiamo contare milioni di utenti, che sono completamente esposti ai rischi del codice malevolo pubblicato, questi infatti potrebbero essere infettati dal menzionato codice.
Google “ha rilasciato le nuove versioni di Hangout e di Messenger per bloccare l’esecuzione automatica di file multimediali che arrivano tramite MMS”, per esempio, ma “questo metodo di contagio costituisce solo il peggiore di oltre 10 modi diversi (browser, messaggistica istantanea, etc.) potenzialmente dannosi, il cui supporto viene trattato dalla letteratura su Stagefright “, ha detto Zimperium.
Nel frattempo, “una miriade di ricercatori sono accorsi per controllare la base di codice Android e numerosi altri problemi sono stati collettivamente individuati e comunicati”, ha aggiunto l’azienda.