Il codice di Android Stagefright è adesso pubblico

di

Android Stagefright rappresenta una delle più grosse e pericolose vulnerabilità scoperte nel notissimo sistema operativo Google. Il codice sorgente è stato rilasciato al pubblico nella giornata di ieri, e la situazione si fa ancora più calda.

Stragefright raccoglie essenzialmente tutta una serie di criticità nella libreria dedicata ai file multimediali di Android, che permettono ad un malintenzionato di eseguire codice malevolo sul dispositivo dell'ignara vittima. Il problema è che tutta la procedura è relativamente semplice, perché l'attaccante può sfruttare una pagina web creata ad hoc oppure un semplicissimo MMS inviato all'utente.
Il codice stato condiviso dall'azienda Zimperium, che si dedica alla sicurezza mobile, per scopi di test. Esso è scritto in Python e consente, sul device sul quale è in esecuzione, di dare determinati comandi alla shell Android per catturare foto e registrare audio dal microfono, ovviamente senza alcun permesso.

I possessori di Android Lollipop sono quelli che possono stare più tranquilli, in quanto sembra che il codice non operi su tale versione. In ogni caso, considerando che quasi l'80% dei device possiede Android KitKat o inferiore, possiamo contare milioni di utenti completamente esposti ai rischi del codice pubblicato, che potrebbe essere affetto dal menzionata codice, che si trasformerebbe così in un exploit nudo e crudo piuttosto che rimanere per testing.

Google ha cercato e sta cercando di mitigare gli effetti di Stagefright rilasciando tutta una sfilza di patch, collaborando anche con i partner e gli OEMs. Solo una piccola parte dei dispositivi Android è però al sicuro, e molti non hanno ancora ottenuto le suddette correzioni.
C'è ancora tanta strada da fare per rendere sicuri tutti i device, anche se queste criticità stanno sempre più raccogliendo le attenzioni delle grandi aziende. Sia Google che Samsung hanno, per esempio, annunciato aggiornamenti mensili rispettivamente per i Nexus e per i Galaxy. Qualcosa quindi sta iniziando a muoversi, ma per ora è ancora troppo poco.

Quanto è interessante?
0