Proteggere Android dall'attacco Stagefright

In questi giorni si fa un gran parlare dell’attacco alla libreria Stagefright, utilizzata sui dispositivi mobili Android per gestire ed aprire alcuni tipi di file multimediali.
Nell’articolo Vulnerabilità Android affligge il 95% dei dispositivi abbiamo illustrato alcuni dettagli sulla falla di sicurezza venuta a galla di recente.

La notizia della scoperta di una pericolosa vulnerabilità in Stagefright ha destato non poco scalpore perché affetta dal problema sarebbe quasi la totalità dei dispositivi Android in circolazione, dalla ormai vecchissima versione 2.2 (“Froyo”) fino alla 5.1 (“Lollipop”) comprese (fonte: Zimperium).

Purtroppo, stando a quanto spiegato dagli autori della scoperta (i tecnici di Zimperium, azienda con sede a San Francisco), la vulnerabilità individuata in Android sarebbe già sfruttata per condurre attacchi mirati.
Come avevamo spiegato nell’articolo Vulnerabilità Android affligge il 95% dei dispositivi, un aggressore – semplicemente inviando un MMS sullo smartphone Android della vittima – può eseguire codice dannoso e sottrarre informazioni altrui.
Ciò che è ancora più grave è che il bersaglio dell’attacco può neppure accorgersi dell’aggressione perché il malintenzionato può disporre, da remoto, la cancellazione dell’MMS che sfrutta la vulnerabilità ed ogni traccia del codice nocivo.

Zimperium ha recentemente chiarito che del 95% dei dispositivi Android attaccabili, nel 50% dei casi l’aggressione via MMS ha effetto immediato non richiedendo alcuna interazione da parte dell’utente. Nella restante metà delle situazioni, la semplice apertura dell’MMS malevolo provoca l’esecuzione del codice dannoso.

Facendo leva sui privilegi concessi da Android alla libreria Stagefright, l’aggressore può addirittura spiare le conversazioni ed attivare la registrazione audio/video in modalità remota.
Su alcuni dispositivi Android, sempre sfruttando il bug di sicurezza insito in Stagefright, gli aggressori possono utilizzare privilegi SYSTEM ed avere pieno accesso a tutte le funzionalità del sistema operativo e del dispositivo mobile.

Gli aggressori remoti, attraverso un meccanismo di privilege escalation, possono comunque leggere il contenuto delle email, i messaggi Facebook e WhatsApp, le liste dei contatti ed accedere ai dati gestiti dalle varie app Android.

Proteggere Android dall’attacco a Stagefright

Google sembra abbia risolto la vulnerabilità di sicurezza nella libreria Stagefright già da qualche tempo. Nel codice AOSP, infatti, si trovano tracce delle correzioni applicate.

Il problema di fondo, tuttavia, è che la stragrande maggioranza dei produttori di smartphone Android non ha distribuito gli aggiornamenti contenenti la patch per la libreria Stagefright.
I dispositivi di fascia medio-bassa e, soprattutto, quelli ormai superati, non riceveranno mai un aggiornamento ufficiale per Android.

Come fare, allora, per difendersi dagli attacchi a Stagefright e gestire l’eventualità che si possa ricevere un MMS malevolo?

La soluzione migliore consiste nel disattivare la gestione degli MMS in arrivo nell’applicazione che si usa per la messaggistica.
Nel caso in cui si utilizzasse un’app Android che non permette la disattivazione degli MMS, il consiglio è quello di passare ad un’applicazione più completa che offre questa possibilità.

Per verificare l’app predefinita per la gestione di SMS/MMS, si può accedere alle impostazioni di Android e controllare nella sezione Wireless e reti.

Noi, ad esempio, utilizziamo Google Messenger ma si possono adoperare Messaggi o Hangouts, giusto per fare qualche nome.

Accedendo ad esempio a Messenger, selezionando il pulsante raffigurante tre punti in colonna, selezionando Impostazioni quindi “tappando” su Avanzate, si potrà disattivare la spunta da Recupero automatico, recupera messaggi MMS automaticamente.

Gli utenti di Google Hangout possono invece accedere alle impostazioni dell’app, toccare SMS quindi togliere il segno di spunta dalla casella Recupera messaggi MMS automaticamente (allorquando Hangout sia impostato come app predefinita per la gestione dei messaggi).

Chi utilizza vecchie versioni di Android può valutare l’installazione di una ROM personalizzata o “custom ROM“: Installare ROM Android e aggiornare all’ultima versione.
Gli utenti di CyanogenMod, ad esempio, riceveranno l’update contenente la patch relativa alla vulnerabilità della libreria Stagefright entro qualche giorno.