Bug nella libreria Stagefright di Android: un solo video per essere le vittime

10 agosto 2015

Un nuovo Exploit consente agli hacker di entrare nei dispositivi Android

Bug-Software

Joshua Drake, ricercatore presso la società Zimperium, ha scoperto una vulnerabilità nei dispositivi Android, per la quale un semplice video è in grado di compromettere la sicurezza dei nostri smartphone. L’exploit in questione agisce indisturbato e anche i più esperti posso essere colpiti da questo potentissimo bug senza accorgersene.

Il bug è all’interno della libreria Stagefright di Android

Quando riceviamo un messaggio con un video, il sistema inizia a decodificare il contenuto per rendere il video immediatamente disponibile. Grazie al procedimento avviato dal processore, al clic sulla miniatura siamo in grado di visualizzare automaticamente l’anteprima. La libreria di Google – presente in tutti gli smartphone Android – nel generare la preview apre a nostra insaputa anche il potenziale virus contenuto nell’MMS ricevuto. E’ dunque la gestione automatica dei contenuti video a permettere agli hacker di impossersi del nostro device.

 

Chi rischia di essere colpito dal “peggior bug mai scoperto su Android”

Tutti i dispositivi Android sono implicitamente vulnerabili, poiché la libreria Stagefright è il software preinstallato nei dispositivi Android già  dalla versione 2.2; per essere attaccati dal pericoloso exploit è infatti sufficiente ricevere un MMS con un video tramite una app di messaggistica, come Whatsapp o Hangout, che genera automaticamente la preview del video.

 

Come difendersi dal malware nascosto

Dopo aver individuato il potentissimo bug, Joshua Drake, ha segnalato la vulnerabilità del software a Google e sviluppato una patch per debellare il problema. Ci vorrà del tempo prima che la soluzione verrà erogata sui dispositivi. Nel frattempo possiamo riprendere il controllo e difenderci dai malintenzionati togliendo la spunta dall’opzione “recupero automatico” degli MMS.

(Esempio per Hangout: impostazioni → SMS → Avanzate → Recupera automaticamente MMS)

bug hangout

Noi vi suggeriamo di tutelarvi dall’ “Attacco Stagefright” anche se il portavoce di Google dichiara di non preoccuparsi:

“Questa vulnerabilità è stata identificata in ambiente di laboratorio sui vecchi dispositivi Android e, per quanto ne sappiamo, nessuno è stato colpito dal virus. Non appena ne siamo venuti a conoscenza, ci siamo subito attivati per inviare ai nostri partner un bug fix per proteggere gli utenti”

commenti