Spiare un dispositivo Android: nuovo exploit Stagefright

Stagefright è una libreria scritta in C++ che è integrata nel sistema operativo Android e permette di coadiuvare la riproduzione di contenuti audio e video.
Se ne è parlato spesso, nei mesi scorsi, perché Stagefright – grazie alla massima libertà che le è concessa da parte di Android – può essere bersagliata con diverse tipologie di attacco.

Google ha infatti risolto tutte le lacune di sicurezza conosciute che affliggevano la libreria Stagefright ma un gran numero di dispositivi mobili restano tutt’oggi senza alcun tipo di protezione. Stiamo parlando di tutti quei device Android che non sono ormai più supportati dai rispettivi produttori e che quindi non riceveranno mai un aggiornamento di sicurezza.
Alcuni dispositivi di fascia medio-bassa, poi, nascono già vecchi nel senso che il sistema operativo non viene di fatto mai aggiornato. Ciò significa che eventuali vulnerabilità scoperte in data successiva rispetto all’immissione del dispositivo mobile Android sul mercato potrebbero restare irrisolte e rimanere presenti nello smartphone, nel phablet o nel tablet dell’utente.

Nell’articolo Difendersi dagli attacchi a Stagefright, se Android è vulnerabile abbiamo presentato tutte le lacune di sicurezza ad oggi conosciute in Stagefright ed i passi che è possibile compiere, da possessori di un dispositivo Android, per porsi al riparo da qualunque rischio di aggressione.

Il nuovo exploit che attacca Stagefright è ancora più pericoloso

I tecnici della società israeliana NorthBit hanno messo a punto un nuovo codice exploit che sfrutta le vulnerabilità di Stagefright già note ed in particolare quella presentata in questa pagina (CVE-2015-3864) per eseguire codice nocivo sul dispositivo mobile della vittima.

La modalità d’attacco proposta da NorthBit è ancora più efficace perché il codice nocivo potrebbe essere eseguito semplicemente persuadendo l’utente a visitare una pagina web malevola, presentata invece come del tutto legittima.

Metaphor, questo il nome assegnato al nuovo codice exploit per Stagefright, affligge Android 5.1.1 e versioni precedenti, sempre che non siano state in qualche modo aggiornate mediante l’installazione di patch o l’utilizzo di appositi workaround.

Le vulnerabilità sfruttate sono quelle già note: ciò che è stato migliorato è il meccanismo che innesca l'”aggressione”.
L’utente viene infatti indirizzato su una pagina web che contiene un video MP4 appositamente creato per mandare in crash la libreria Stagefright.
Non appena la libreria viene ricaricata, un apposito JavaScript provvede ad inviare al server degli aggressori tutte le informazioni sul dispositivo mobile client.
Viene a questo punto inviato un nuovo video che sfrutta le vulnerabilità di Stagefright e viene utilizzato per carpire ulteriori dettagli sullo stato del device.
Come ultimo passo, il server degli aggressori può sfruttare una lacuna insita in Stagefright per provocare l’iniezione del codice malware che sarà eseguito sul dispositivo Android della vittima senza alcuna restrizione.

A questo punto, il dispositivo dell’utente è in balìa degli aggressori che possono di fatto attivare componenti malware capaci di spiare tutte le attività espletate. Non c’è limite alle possibilità in mano agli aggressori: questi possono registrare audio e video, scattare foto, modificare la configurazione del device, monitorare i movimenti dell’utente, leggere le sue email e i suoi SMS, sottrarre l’intera rubrica dei contatti e così via.

Per difendersi, suggeriamo di aggiornare Android all’ultima versione. Se ciò non fosse possibile, consigliamo di seguire le indicazioni riportate nell’articolo Proteggere Android dall’attacco Stagefright.

Gli esperti di Zimperium, che avevano individuato alcune delle falle più importanti in Stagefright, hanno commentato il lavoro di NorthBit asserendo che le informazioni pubblicate nella loro analisi sono più che sufficienti per sviluppare, da parte di chiunque abbia le competenze per farlo, codice dannoso per iniziare subito a compiere attacchi su vasta scala.