Secondo Trend Micro, una vulnerabilità software risalente al 2012 è ancora un pericolo per tanti device che usano la libreria libupnp
Siamo a dicembre del 2012 e vari produttori di Smart TV, telefoni cellulari e router, rilasciano una patch che risolve un bug di sicurezza comune dei loro dispositivi. Si tratta di una vulnerabilità che interessa “libupnp“, una libreria all’interno del modulo Portable SDK per dispositivi UPnP (Universal Plug and Play). Nel concreto si tratta del processo che viene utilizzato quando si fanno partire contenuti multimediali via DLNA su dispositivi portatili; mentre sui router interessa il network address translation o NAT, la traduzione degli indirizzi di rete tra due o più host. Nonostante la patch dunque, Trend Micro ha rilevato almeno 547 app che utilizzano ancora una versione vecchia della libreria, mettendo a rischio dunque i device interessati.
Milioni di device a rischio
Secondo l’azienda di sicurezza, sono almeno 6,1 milioni di prodotti potenzialmente vulnerabili a causa della falla, vista l’assenza di adeguate misure di protezione contro il problema. “Tramite le nostre ricerche abbiamo scoperto che l’exploit può essere utilizzato non solo per mandare in crash il sistema – scrive la compagnia – ma anche per far partire codice arbitrario, dando agli hacker la possibilità di prendere il controllo dell’intero sistema, come quello di un normale PC”. Delle centinaia di app considerate insicure, 326 sono presenti sul Play Store di Google e interessano dunque smartphone, tablet e televisori intelligenti dotati di Android. Tra queste c’è QQMusic di Tencent che in Cina conta 100 milioni di utenti, oppure Lindphone SDK, usato per integrare il VoIP all’interno di applicazioni aziendali.
