E’ stata resa nota la presenza di una nuova, seria vulnerabilità per Android, che potenzialmente è in grado di colpire un numero enorme di dispositivi, che rasenta addirittura il miliardo.
Si chiama Stagefright e prende il nome dell’omonima libreria android preposta alla visualizzazione dei filmati.
Una serie di errori di programmazione del codice di questa libreria rende possibile un attacco remoto utilizzando semplicemente un video appositamente modificato. I buchi in questo caso sono addirittura sette: chi fosse interessato ad approfondire l’argomento può consultare le CVE-2015 1539, 1539, 3824, 3826, 3827, 3828 e 3829.
I bug sono presenti dalla versione 2.2 di Android in avanti. Dalla 4.3, o Jelly Bean, Google ha inserito in Android una misura finalizzata a rendere più sicuro il sistema operativo, chiamata ASLR, che potrebbe concretamente mitigare il problema, rendendo molto più difficile la possibilità di sfruttare praticamente le vulnerabilità. Tutte le versioni precedenti la 4.3 e fino alla 2.2 sono invece quelle più esposte al rischio.
Quello che rende questa vulnerabilità molto seria, a parte la dimensione degli apparati interessati, è che vi sono le condizioni perché possa essere sfruttata in modo automatico e senza che il proprietario del telefono se ne accorga. E dato che per veicolarlo è sufficiente un video inviato via MMS, perché un ipotetico attacco possa andare a segno è sufficiente conoscere il numero di telefono della vittima.
Per limitare i rischi al momento l’unico approccio consigliabile è quello di disabilitare il recupero automatico degli MMS dalle impostazioni della applicazione messaggi, togliendo la spunta all’opzione
ed evitare di aprire MMS provenienti da sconosciuti. Ma ovviamente questo non risolve assolutamente il problema, che rimane comunque presente. Sul Play Store sono apparse alcune applicazioni che sono in grado di segnalare la presenza delle vulnerabilità sul vostro dispositivo, ma la risoluzione della condizione di rischio può avvenire solo con l’aggiornamento del sistema operativo, oppure installando una custom rom – come la cyanogenmod – in cui il difetto sia stato già corretto.
Questo significa che una larghissima fetta di dispositivi rimarranno vulnerabili: i produttori, infatti, rilasciano aggiornamenti solo per i dispositivi più recenti, mentre l’installazione di una custom rom non è una operazione alla portata di tutti.
Questo pone legittimi interrogativi sulla bontà del modello di sicurezza Android, che non prevede un sistema per la distribuzione di emergenza di patch di sicurezza, ma dipende totalmente sulla iniziativa dei produttori hardware. La stragrande maggioranza delle grandi case hanno già annunciato di avere pianificato il rilascio di aggiornamenti del sistema operativo in grado di risolvere il problema. Vedremo nel concreto sia i tempi di rilascio per gli apparati in produzione, sia se ci saranno correzioni per gli apparati già usciti dal ciclo della commercializzazione.
E’ un sistema oggettivamente molto debole e fragile al giorno d’oggi, vista la diffusione capillare di dispositivi Android, anche se c’è da dire che Google ha inserito nelle varie evoluzioni del sistema una serie di misure finalizzate a ridurre i rischi derivanti dalle vulnerabilità.
E’ un punto su cui riflettere, visto che il progresso ci porterà sempre di più verso un mondo connesso, in cui la stragrande maggioranza dei dispositivi tecnologici sarà in grado di dialogare fra loro: l’internet delle cose, di cui ho più volte parlato. La rivoluzione che ci aspetta deve necessariamente tenere in giusto conto il problema della sicurezza informatica, visto che episodi come quello di Stagefright rendono plausibile l’idea di chi ritiene che il problema sia stato sino ad ora largamente sottovalutato.
La foto del titolo è di Yurl Samollow
