Il bug di sicurezza scoperto lo scorso luglio ha già un lodevole successore che mette in pericolo smartphone e tablet anche Lollipop
Durante l’estate un solo nome ha messo in subbuglio il panorama di sicurezza del mondo Android: Stagefright. In quel caso bastava un MMS o un messaggio di chat contenente un file multimediale maligno per ottenere i privilegi di amministrazione del dispositivo. La pericolosità andava di pari passo con la vastità infettiva: quasi 1 miliardo di device a rischio, in pratica tutti quelli con una versione di Android successiva alla 2.2. A lanciare l’allarme era stata l’agenzia specializzata Zimperium Mobile Security che a quanto pare aveva già avvertito da tempo Google che non aveva tardato a studiare una soluzione. Il problema è che Big G ha controllo diretto solo sugli update da apportare ai Nexus mentre tutta la flotta di personalizzazioni dipende dai relativi costruttori. Nonostante dagli USA abbiano dichiarato più di una volta che le possibilità di incorrere in un malware via Stagefright siano minime non è detto che qualche novello hacker abbia voluto mettere in mostra le proprie capacità e cimentarsi nello sfruttamento della falla. Ad oggi non è ancora chiaro quanti produttori abbiano realmente chiuso il problema, con patch o aggiornamenti specifici.
Second coming
Il panorama, se possibile, è ancora più grigio visto che sempre da Zimperium arrivano le avvisaglie di una seconda ondata di bug, figli del primo Stagefright. Come nel primo caso, anche qui basta l’anteprima di un file multimediale, raggiungibile tramite un link verso cui si spinge l’utente a cliccare. La prima minaccia risiederebbe nella componente libutils di Android, a partire dalla versione 1.0 e fino all’ultima della serie KitKat; mentre la seconda sfrutta una falla della libreria libstagefright a partire da Android 5.0. Proprio quest’ultima allarga il contesto di dispositivi violabili a quelli aggiornati di recente, portando il numero dei teoricamente infettabili al 95% di tutti i terminali Android attivi al mondo. Se durante il precedente Stagefright la minaccia viaggiava tramite MMS, in questo caso è il browser a fare da vettore per i file maligni. Una volta visitato un sito compromesso, basterebbe cliccare sull’anteprima di un file video o audio per iniettare il malware e consentire l’ingresso nel sistema ad hacker e criminali. C’è la possibilità che il bug possa sfruttare anche l’anteprima multimediale inserita all’interno di app di terze parti, allargando così il bacino delle possibilità di contagio. Google ha inviato le patch correttive il 10 settembre; ci sarà da capire quando verranno applicate ai non-Nexus.
