Corrette due vulnerabilità critiche su Android, ma milioni di dispositivi ancora a rischio

All'interno di un aggiornamento rilasciato lo scorso giovedì Google ha corretto due vulnerabilità critiche presenti su una vasta percentuale di dispositivi in circolazione e su alcune app scaricate circa 2,5 milioni di volte complessivamente sul Play Store. Le due vulnerabilità ricordano la famiglia Stagefright che è balzata agli onori della cronaca lo scorso anno e, sebbene siano state corrette da Big G, rimarranno attive su molti dispositivi fino a quando (e se) i produttori non rilasceranno le corrispettive patch di sicurezza. Questo lascia ad utenti malintenzionati la possibilità di eseguire exploit sugli smartphone del robottino verde.

La prima delle due vulnerabilità è stata scoperta da Mark Brand, ricercatore del team di sicurezza Project Zero di Google. Viene conosciuta come CVE-2016-3861 e consente all'aggressore di eseguire malware oppure ottenere privilegi locali. Si tratta di una vulnerabilità critica, secondo il ricercatore, soprattutto perché può venire sfruttata in molte modalità differenti, tuttavia non dovrebbe essere complicato rilevare attività sospette che utilizzano il bug. Il ricercatore non ha dichiarato qual è la prima versione di Android che ha introdotto la falla di sistema, indicando solo che è presente su molte delle release più recenti.

Stando ad un portavoce di Google, però, si tratta di una vulnerabilità progettata da Google solamente per scopi di ricerca, che richiede massicce modifiche al dispositivo per essere sfruttata anche in condizioni d'uso realistiche.

L'aggiornamento di Google fornisce una correzione anche ad un'altra vulnerabilità che fa uso di file multimediali per introdurre codice malevolo sul dispositivo, in maniera simile a Stagefright. Nota come CVE-2016-3862, il bug consente di usare immagini JPG formattate ad-hoc con finalità malevole. Le immagini contengono codice dannoso all'interno dei dati EXIF e, inviate sul dispositivo, possono infettarlo senza alcuna interazione da parte dell'utente: "Per un aggressore evoluto si tratta di un bug relativamente semplice da scovare e da sfruttare", ha dichiarato Tim Strazzere, ricercatore che ha scoperto la vulnerabilità riportandola a Google.

C'è dell'altro: la scorsa settimana Checkpoint aveva scoperto che alcune applicazioni scaricate 2,5 milioni di volte su Google Play erano affette da un malware della famiglia DressCode, sfruttato principalmente per generare click fraudolenti sui banner pubblicitari. La vulnerabilità, che è stata trovata su oltre 40 applicazioni disponibili su Google Play Store, può tuttavia essere sfruttata anche per penetrare nelle reti private e recuperare file sensibili da esse. Allo stesso modo, Checkpoint riportava in una nota separata della presenza di app contenenti il malware CallJam, che chiama numeri premium a pagamento senza richiedere alcun permesso all'utente.

Le diverse applicazioni (fra cui Gems Chest for Clash Royale che, da sola, è stata scaricata dalle 100 mila alle 500 mila volte) sono state rimosse dal Google Play Store. All'interno del comunicato pubblicato in questa pagina, Google comunque sprona "tutti i clienti ad accettare i nuovi update sui propri dispositivi", qualora naturalmente fosse arrivata la notifica di aggiornamento.