Tutti i dispositivi Android a rischio hack: basta lanciare un MP3 o un MP4
Zimperium ha rilasciato i dettagli di una nuova vulnerabilità scoperta su Android che permette l'esecuzione di codice malevolo semplicemente in seguito all'esecuzione di un file MP3 o MP4
di Nino Grasso pubblicata il 03 Ottobre 2015, alle 09:01 nel canale TelefoniaAndroid
Sono 1,4 miliardi i dispositivi Android in circolazione in tutto il mondo, e sono tutti potenziali vittime del nuovo bug Stagefright che coinvolge la piattaforma del robottino verde. Tutte le versioni sembrerebbero essere vulnerabili alla nuova falla scoperta dalla firma di sicurezza Zimperium che può essere eseguita semplicemente con la riproduzione di un file audio o un file video, rispettivamente nelle estensioni MP3 ed MP4.
La falla si compone di due bug: il primo si trova nella libreria libutils disponibile su tutte le versioni Android dalla 1.0 in poi. Questa può essere sfruttata anche sui dispositivi più recenti e protetti sfruttando una seconda vulnerabilità insita nella libreria libstagefright, utilizzata per l'elaborazione dei file multimediali. Al momento in cui scriviamo Google ha emesso un indice CVE solo per il primo bug (CVE-2015-6602).
Se utilizzate insieme, le falle permettono agli aggressori di eseguire codice malevolo anche sugli smartphone mossi da Android 5.0 e successivi. Secondo Zimperium la vulnerabilità si trova nel processamento dei metadati all'interno dei file, quindi basta eseguire un'anteprima degli stessi su applicazioni di terze parti o attraverso i servizi nativi del dispositivo per consentire all'exploit di prendere piede al suo interno.
Se il primo bug Stagefright rendeva vulnerabili i dispositivi Android via un MMS, il vettore per la nuova versione scoperta può essere il browser web, o applicazioni di terze parti come media player o client di messaggistica. Il sistema di protezione nativo usato su Android risulta vagamente efficace contro gli attacchi Stagefright, con Google che è chiamata nuovamente in causa per rilasciare una patch di sicurezza apposita per il suo sistema operativo.
Big G si è già fatta sentire mostrandosi più che solerte: la patch verrà rilasciata la prossima settimana, con il roll-out sui dispositivi Nexus che avverrà nei giorni successivi. Per i dispositivi di altri brand ci vorrà invece qualche tempo in più.
50 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoMi sa che il mio prossimo smartphone sarà Nexus....
Mi sa che il mio prossimo smartphone sarà Nexus....
Imho conviene prendere un dispositivo moddabile, con una folta community su xda, ed ogni tanto con un po' di pazienza flashare una nuova rom
Curioso di vedere se anche a questo giro Asus rilascerà rapidamente una patch per i suoi ZenFone2, ultimamente si è data molto da fare, chissà che un giorno non decida di passare ad un Asus.
CIAWA
Si in effetti è normale che un utente si debba affidare alla community (di cui fra l'altro ignora l'esistenza) per avere assistenza su un prodotto, come se per avere assistenza sulla lavatrice si dovesse andare dal pusher in piazza dopo la mezzanotte.....
se... e adesso mi compero pure un'automobile per la quale la casa madre non mi da assistenza, così, in caso di problemi è meglio andare dal primo meccanico improvvisato oppure devo arrangiarmi col fai da te... fantastico!
Devo avere conoscenze informatiche di un certo livello per usare in sicurezza un cellulare?? ma stiamo scherzando?? e poi mi vengono a dire di fare l'affarone e acquistare pure cellulari di sottomarche cinesi che hanno millemila Hz, giga e fanta prestazioni
La lavatrice? Io direi più il PC che hai in ufficio dove lavori e fai anche home-banking.
Sullo smartphone ci passa tutta la mia vita e sinceramente mi fido (un po', non moltissimo!) più di Google (o di aziende riconosciute) che di team di ragazzotti smanettoni più o meno amatoriali mai visti in faccia.
Con questo non voglio minare l'incrollabile fede che molti dell'ambiente tecnologico ripongono verso questi paladini della giustizia e della libertà, eroi dalla lucente armatura che si prodigano per noi tutti senza chiedere nulla in cambio.. però.. ci vado cauto.
Ovviamente chi non ha simili necessità può anche soprassedere come ho fatto fino a ieri ed utilizzar tutte le ROM che meglio crede senza problemi.
CIAWA
Devo avere conoscenze informatiche di un certo livello per usare in sicurezza un cellulare?? ma stiamo scherzando?? e poi mi vengono a dire di fare l'affarone e acquistare pure cellulari di sottomarche cinesi che hanno millemila Hz, giga e fanta prestazioni
Non ho detto che è normale o bello, questa è stata una vostra assunzione.
I fatti sono questi, così è.
Quindi se vuoi android e vantarti dei fantamiliardi di Hz e i pepermilioni di RAM
Tieni in considerazione che il device sarà supportato per circa un anno, se è un nexus magari qualche mesetto extra.
Alternativa 1 ti compri un iPhone
Alternativa 2 ti compri un device moddabile e leggi qualche guida.*
* Se ti fai un giro sui vari forum\siterelli italiani androidolandia\megandroidz\androidFTW noterai che l'età media è molto bassa.
Ora, immagino che se un 15enne random è capace di installare l'ultima paranoid sul suo cellulare, sicuramente può riuscirci anche il meno capace di questo forum.
Gli utenti medi lasciali stare, quelli scaricano le app gratuite dai siti cinesi random, non sarà una patch a tenerli al sicuro.
Più o meno è vero per molti, ma alcuni usano il cellulare per l'internet banking\paypal.
Poi si può sempre essere iscritti a servizi a pagamento
Sullo smartphone ci passa tutta la mia vita e sinceramente mi fido (un po', non moltissimo!) più di Google (o di aziende riconosciute) che di team di ragazzotti smanettoni più o meno amatoriali mai visti in faccia.
Con questo non voglio minare l'incrollabile fede che molti dell'ambiente tecnologico ripongono verso questi paladini della giustizia e della libertà, eroi dalla lucente armatura che si prodigano per noi tutti senza chiedere nulla in cambio.. però.. ci vado cauto.
Ovviamente chi non ha simili necessità può anche soprassedere come ho fatto fino a ieri ed utilizzar tutte le ROM che meglio crede senza problemi.
CIAWA
Alcuni pubblicano su github
Android One è un progetto di Google dove brandizza cinafonini con caratteristiche da fascia media dove contano e gli fa e tiene aggiornato il firmware almeno due anni.
Prezzi sotto ai 200 euro.
http://pocketnow.com/2015/09/18/android-one-europe
Il problema grande è la lentezza negli aggiornamenti... non a caso hanno messo il componente WebView (di fatto è la finestra WebKit che può usare chiunque voglia sviluppare app) aggiornabile dallo store.
In questo caso il problema è un po' più "sotto", perché riguarda una libreria utilizzata.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".