6354 Letture

Stagefright 2.0, nuove falle di sicurezza in Android

La libreria Stagefright utilizzata in Android torna a far parlare di sé. Zimperium, la stessa società che aveva scoperto una prima pericolosa falla in Stagefright (può essere sfruttata disponendo l'invio di un MMS malevolo verso il dispositivo Android vulnerabile; vedere Vulnerabilità Stagefright su Android, ecco il codice exploit, articolo contenente anche le soluzioni pratiche per proteggersi), lancia un nuovo allarme e spiega di aver individuato, nella medesima libreria usata dal robottino verde di Google, ulteriori due nuove vulnerabilità.

"Si tratta delle due più gravi vulnerabilità scoperte in Android alla data odierna", ha commentato uno dei ricercatori che si sono concentrati sulle lacune della libreria Stagefright.

Stagefright 2.0, nuove falle di sicurezza in Android

Questa volta non è l'invio di un MMS a provocare l'esecuzione di codice dannoso sul dispositivo Android ma, ancor più semplicemente, la gestione di file MP3 e MP4 preparati "ad arte" da parte di un aggressore o di un gruppo di criminali informatici.
La falla in Stagefright ha a che fare con l'elaborazione dei metadati presenti nei file MP3 e MP4: la semplice generazione dell'anteprima di un video o di un brano musicale può quindi portare all'esecuzione del codice nocivo.

Basta quindi che l'utente Android apra, con il browser web o con un'app di messaggistica, un contenuto MP3/MP4 malevolo per aprire le porte all'attacco remoto.


Al momento neppure Google ha pubblicato l'aggiornamento risolutivo che però, stando a quanto riferito, dovrebbe arrivare - appannaggio dei possessori di dispositivi Nexus - il prossimo 5 ottobre.


Zimperium si è guardata bene dal pubblicare il codice exploit per sfruttare le ulteriori due lacune di sicurezza di Stagefright e provvederà ad aggiornare l'app Statefright Detector solamente dopo che saranno rilasciate le patch ufficiali.

Un portavoce di Google ha fatto presente che un "fix" è già stato girato ai principali produttori di device Android oltre che agli operatori di telecomunicazioni partner dell'azienda di Mountain View.

  1. Avatar
    Sampei Nihira
    23/11/2015 15:20:00
    Questo weekend nel mio tempo libero ho approfittato per studiare un pò questa situazione. Da una situazione che mi tocca personalmente cioè la sola vulnerabilità CVE-2015-6602 rivelata dall'app Zimperium ho approfittato per trarre alcune conclusioni e per ciò avrei aperto un 3D apposito.......che ad oggi è e presumo rimarrà..... :eheheh: Allora la mia vulnerabilità risiede nella libreria Libutils.so. Come cita l'articolo scritto da Michele il difetto risiede nell'elaborazioni dei metadati richiamati dall'app che legge i files MP3/MP4 malformati. Mi piacerebbe naturalmente entrare in possesso di un file Mp3/MP4 malevolo.............se c'è qualche utente che li possiede mi faccia un fischio !! :wink: E veniamo a noi. Ci sarebbero 2 parti di routine/subroutine malscritte. Sarebbe interessante verificare i nuovi valori del file pathcato ed adattarli al file presente nel device. Teoricamente la cosa dovrebbe essere semplice. Ma se ancora nessuno (presumo) l'ha fatto vuol dire che trà il dire ed il fare come al solito c'è di mezzo il mare !!! :D Visto che non è la mia materia non ho la minima idea per esempio di come aprire/modificare la libreria in questione. Non sò se è possibile farlo con un terminale !! E mi fà specie che nessun studente/ricercatore...........abbia avuto questa curiosità. Ritorniamo a file MP3/Mp4 incriminati. Ed ammettiamo (non è che sia semplice) che siano giunti sul nostro dispositivo. Che sò tramite Whatsapp. :D E mi sono detto possibile che app esterne facciano tutte riferimento ai famosi metadati delle librerie incriminate ? Probabilmente quelle di default sicuramente. Tipo la mia app "musica" che in origine leggeva appunto i file MP3. Dopo che lo smart è entrato in mio possesso questa app preinstallata è stata "congelata" (con Link2SD) immediatamente. Questo qualche anno fà....se ben ricordo. :roll: E sembrerebbe che l'app che uso (guarda caso che c.....ehm fortuna...... :D ) per leggere i file MP3/Mp4 benchè se ho ben capito non fà riferimento alla libreria in questione per la parte multimedia ma ha gli algoritmi di decodifica interni. Oppure se li usa non fà riferimento ai metadati buggati. Diverso è il discorso per i browser. Ho scoperto quasi per caso che anche il browser Firefox desktop presenta 2 voci Stagefright in about:config. Quindi certamente ci sono anche nell'app Android................ Presumo che nel mio device sarebbe per la vulnerabilità in questione meglio non usare il mio Opera Mini. Che probabilmente risulta esposto. Ma anche in questa situazione la mia percentuale di rischio è praticamente tendente a zero.
Stagefright 2.0, nuove falle di sicurezza in Android - IlSoftware.it