Secondo capitolo per la saga del malware Stagefright, già definito come uno dei software più terrificanti mai comparsi su dispositivi Android. Se la prima versione si “accontentava” di un semplice Mms per fare impazzire l’omonima libreria presente negli smartphone, l’aggiornamento è diventato ancora più multimediale e punta ora ai file musicali Mp3 e ai video Mp4. A dare la notizia i ricercatori della società Zimperium, i primi scopritori di Stagefright 1.0, che hanno portato alla luce questa nuova, doppia vulnerabilità dei sistemi operativi del robottino verde. La prima colpisce praticamente tutto il parco esistente sulla faccia della terra, visto che sono coinvolti tutti i device con Android dalla versione 1.0 in poi, comparsi addirittura nel 2008. Google ha assegnato alla falla il codice Cve-2015-6602, mentre Zimperium non ha ancora comunicato i dettagli relativi al secondo bug. La vulnerabilità evidenziata riguarda sempre la libreria stagefright, che nei sistemi Android si occupa di gestire il motore di riproduzione dei file multimediali.

Nei device con versioni del sistema operativo pari o superiori alla 5.0, l’exploit potrebbe portare anche all’esecuzione di codice da remoto, mentre gli smartphone più datati potrebbero essere coinvolti soltanto se il bug dovesse rivelarsi funzionante con la directory libutils. Ma come scatta effettivamente l’attacco? Il baco è legato alla procedura con cui Android elabora i metadati registrati sui file Mp3 ed Mp4. Avviare canzoni o video (oppure mandarli a schermo in anteprima) creati appositamente per scopi maligni rende operativa la minaccia.

Il vettore principale d’infezione, secondo Zimperium, sarebbe il Web: un hacker potrebbe convincere la potenziale vittima ad aprire un collegamento Internet diretto a un sito controllato. Un altro pirata informatico connesso alla stessa rete dovrebbe poi iniettare il codice maligno sfruttando tecniche man-in-the-middle per “ascoltare” il traffico Web. Sarebbe poi sufficiente aprire il file, oppure visualizzare l’anteprima, per scatenare l’attacco vero e proprio. Al momento, comunque, non esistono proof-of-concept del bug.

 

 

I ricercatori hanno riportato la vulnerabilità a Google lo scorso 15 agosto e Big G ha dichiarato che prenderà provvedimenti nella seconda metà di ottobre. Ma questo non potrebbe essere sufficiente: i singoli vendor che si affidano ad Android per i propri device (Samsung, Sony, Htc e moltissimi altri), dovranno a loro volta lanciarsi nel ginepraio per assicurare ai propri consumatori una protezione completa. Questo significa che i dispositivi ormai circolanti da più tempo non riceveranno la patch e rimarranno esposti al pericolo. Mentre, secondo il sito Motherboard, Android Marshmellow sarà immune alla falla perché incorporerà direttamente la soluzione.