Stagefright: nuovi problemi di sicurezza per Android

0

E’ stata resa nota la presenza di una nuova, seria vulnerabilità per Android, che potenzialmente è in grado di colpire un numero enorme di dispositivi, che rasenta addirittura il miliardo.

Si chiama Stagefright e prende il nome dell’omonima libreria android preposta alla visualizzazione dei filmati.
Una serie di errori di programmazione del codice di questa libreria rende possibile un attacco remoto utilizzando semplicemente un video appositamente modificato. I buchi in questo caso sono addirittura sette: chi fosse interessato ad approfondire l’argomento può consultare le CVE-2015 1539, 1539, 3824, 3826, 3827, 3828 e 3829.

I bug sono presenti dalla versione 2.2 di Android in avanti. Dalla 4.3, o Jelly Bean, Google ha inserito in Android una misura finalizzata a rendere più sicuro il sistema operativo, chiamata ASLR, che potrebbe concretamente mitigare il problema, rendendo molto più difficile la possibilità di sfruttare praticamente le vulnerabilità. Tutte le versioni precedenti la 4.3 e fino alla 2.2 sono invece quelle più esposte al rischio.

Quello che rende questa vulnerabilità molto seria, a parte la dimensione degli apparati interessati, è che vi sono le condizioni perché possa essere sfruttata in modo automatico e senza che il proprietario del telefono se ne accorga. E dato che per veicolarlo è sufficiente un video inviato via MMS, perché un ipotetico attacco possa andare a segno è sufficiente conoscere il numero di telefono della vittima.

Per limitare i rischi al momento l’unico approccio consigliabile è quello di disabilitare il recupero automatico degli MMS dalle impostazioni della applicazione messaggi, togliendo la spunta all’opzione

mms
ed evitare di aprire MMS provenienti da sconosciuti. Ma ovviamente questo non risolve assolutamente il problema, che rimane comunque presente. Sul Play Store sono apparse alcune applicazioni che sono in grado di segnalare la presenza delle vulnerabilità sul vostro dispositivo, ma la risoluzione della condizione di rischio può avvenire solo con l’aggiornamento del sistema operativo, oppure installando una custom rom – come la cyanogenmod – in cui il difetto sia stato già corretto.
Questo significa che una larghissima fetta di dispositivi rimarranno vulnerabili: i produttori, infatti, rilasciano aggiornamenti solo per i dispositivi più recenti, mentre l’installazione di una custom rom non è una operazione alla portata di tutti.

Questo pone legittimi interrogativi sulla bontà del modello di sicurezza Android, che non prevede un sistema per la distribuzione di emergenza di patch di sicurezza, ma dipende totalmente sulla iniziativa dei produttori hardware. La stragrande maggioranza delle grandi case hanno già annunciato di avere pianificato il rilascio di aggiornamenti del sistema operativo in grado di risolvere il problema.  Vedremo nel concreto sia i tempi di rilascio per gli apparati in produzione, sia se ci saranno correzioni per gli apparati già usciti dal ciclo della commercializzazione.
E’ un sistema oggettivamente molto debole e fragile al giorno d’oggi, vista la diffusione capillare di dispositivi Android, anche se c’è da dire che Google ha inserito nelle varie evoluzioni del sistema una serie di misure finalizzate a ridurre i rischi derivanti dalle vulnerabilità.

E’ un punto su cui riflettere, visto che il progresso ci porterà sempre di più verso un mondo connesso, in cui la stragrande maggioranza dei dispositivi tecnologici sarà in grado di dialogare fra loro: l’internet delle cose,  di cui ho più volte parlato. La rivoluzione che ci aspetta deve necessariamente tenere in giusto conto il problema della sicurezza informatica, visto che episodi come quello di Stagefright rendono plausibile l’idea di chi ritiene che il problema sia stato sino ad ora largamente sottovalutato.

La foto del titolo è di Yurl Samollow

Condividi:

L'autore

Consulente Informatico, blogger, problem solver, radioamatore. Ho iniziato la mia attività nel 1977 sviluppando sistemi di calcolo nell'area energie alternative e rinnovabili e da allora mi sono sempre interressato delle frontiere della tecnologia. Nel 1984 sono stato fra i pionieri delle BBS, i primi servizi telematici pubblici, e l'anno successivo ho portato in Italia Fidonet, la prima rete pubblica mondiale, che ho coordinato sino al 1994. Sono attivamente su Internet agli inizi degli anni 90, Nel 1998 sono stato fra i primi a credere nella convergenza digitale, arricchendo internet con materiale multimediale, come audio e video, anni prima del Web 2.0. Continuo da sempre ad occuparmi di informatica e di tecnologia con un occhio attento al futuro che ci attende. Continuo a lavorare come consulente informatico, con una specifica competenza in sicurezza, reti di comunicazione, sistemi operativi e tecnologie di virtualizzazione.

Lascia un commento