Milioni di smartphone Android a rischio, nuovo exploit per Stagefright

Stagefright torna a far parlare di sé, dopo essere passato agli onori della cronaca nel corso del 2015 per le vulnerabilità che hanno messo a rischio milioni di terminali Android. Stagefright è, di per sé, una componente innocua del sistema operativo Android, si tratta, infatti, di una media library chiamata a gestire molteplici formati media. Al tempo stesso ha evidenziato, col passare del tempo, diverse vulnerabilità, in parte legate al fatto che la media library è stata implementata nel codice nativo (C++), più esposto a problemi di memory corruption rispetto al linguaggio Java.

L'ultimo capitolo della storia di Stagefright la scrivono i ricercatori NorthBit, presentando i risultati di uno studio - qui consultabile in formato PDF - che mette in evidenza una nuova vulnerabilità di Stagefright sfruttata con l'exploit denominato Metaphor. Anche in questa occasione, il numero di terminali potenzialmente esposto al rischio è considerevole: si fa riferimento a 275 milioni di smartphone equipaggiati con il sistema operativo Android, versioni 2.2 e 4.0, 5.0 e 5.1.

Particolarmente vulnerabile all'attacco è risultato essere il Nexus 5 dotato della ROM stock, ma la falla nella sicurezza è stata accertata anche con altri smartphone molto conosciuti come HTC One, LG G3 e Samsung Galaxy S5. Vi è da dire che, pur potenzialmente in grado di colpire una gamma di device molto estesa, l'intensità del rischio non è così' elevata per le dinamiche che rendono possibile portare a termine l'attacco.

Come documentato nel video di NorthBit che dimostra il funzionamento di Methaphor,  per  inalizzare l'attacco ed avere effettivamente la possibilità di eseguire codice da remoto, è richiesta una certa "collaborazione" (involontaria) da parte della vittima. La tecnica di attacco parte con l'invio di una mail con un link che rimanda al sito web malevolo, contenente media che l'utente potrebbe decidere di riprodurre.

Per prendere il controllo del terminale in remoto, l'utente deve restare nel sito per un intervallo di tempo abbastanza esteso (è sufficiente la permanenza, non è richiesto l'avvio del contenuto, es. di un video). Click sul link e permanenza prolungata nel sito sono due condizioni che potrebbero non essere soddisfatte in ogni caso (basterebbe non aprire il link o allontanarsi rapidamente dal sito per non andare incontro a rischi). 

La minaccia, in ogni caso, resta meritevole di attenzione. Nel 2015 il "caso StageFright" ha contribuito a delineare la politica di aggiornamenti di sicurezza del sistema operativo Android che Google, dopo l'eco mediatico della vicenda, ha scelto di rilasciare con cadenza mensile. Non è quindi da escludere che la nuova vulnerabilità di StageFright verrà corretta con la prossima tornata di aggiornamenti destinati ai terminali Android.