Tutti i dispositivi Android a rischio hack: basta lanciare un MP3 o un MP4

Tutti i dispositivi Android a rischio hack: basta lanciare un MP3 o un MP4

Zimperium ha rilasciato i dettagli di una nuova vulnerabilità scoperta su Android che permette l'esecuzione di codice malevolo semplicemente in seguito all'esecuzione di un file MP3 o MP4

di pubblicata il , alle 09:01 nel canale Telefonia
Android
 

Sono 1,4 miliardi i dispositivi Android in circolazione in tutto il mondo, e sono tutti potenziali vittime del nuovo bug Stagefright che coinvolge la piattaforma del robottino verde. Tutte le versioni sembrerebbero essere vulnerabili alla nuova falla scoperta dalla firma di sicurezza Zimperium che può essere eseguita semplicemente con la riproduzione di un file audio o un file video, rispettivamente nelle estensioni MP3 ed MP4.

La falla si compone di due bug: il primo si trova nella libreria libutils disponibile su tutte le versioni Android dalla 1.0 in poi. Questa può essere sfruttata anche sui dispositivi più recenti e protetti sfruttando una seconda vulnerabilità insita nella libreria libstagefright, utilizzata per l'elaborazione dei file multimediali. Al momento in cui scriviamo Google ha emesso un indice CVE solo per il primo bug (CVE-2015-6602).

Se utilizzate insieme, le falle permettono agli aggressori di eseguire codice malevolo anche sugli smartphone mossi da Android 5.0 e successivi. Secondo Zimperium la vulnerabilità si trova nel processamento dei metadati all'interno dei file, quindi basta eseguire un'anteprima degli stessi su applicazioni di terze parti o attraverso i servizi nativi del dispositivo per consentire all'exploit di prendere piede al suo interno.

Se il primo bug Stagefright rendeva vulnerabili i dispositivi Android via un MMS, il vettore per la nuova versione scoperta può essere il browser web, o applicazioni di terze parti come media player o client di messaggistica. Il sistema di protezione nativo usato su Android risulta vagamente efficace contro gli attacchi Stagefright, con Google che è chiamata nuovamente in causa per rilasciare una patch di sicurezza apposita per il suo sistema operativo.

Big G si è già fatta sentire mostrandosi più che solerte: la patch verrà rilasciata la prossima settimana, con il roll-out sui dispositivi Nexus che avverrà nei giorni successivi. Per i dispositivi di altri brand ci vorrà invece qualche tempo in più.

50 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Axios200603 Ottobre 2015, 09:54 #1
E su molti dispositivi non arriverà mai la patch... S4 mini Samsung uno fra tanti.

Mi sa che il mio prossimo smartphone sarà Nexus....
doctor who ?03 Ottobre 2015, 10:36 #2
Originariamente inviato da: Axios2006
E su molti dispositivi non arriverà mai la patch... S4 mini Samsung uno fra tanti.

Mi sa che il mio prossimo smartphone sarà Nexus....


Imho conviene prendere un dispositivo moddabile, con una folta community su xda, ed ogni tanto con un po' di pazienza flashare una nuova rom
Balthasar8503 Ottobre 2015, 10:36 #3
Dopo il tempestivo aggiornamento ricevuto l'ultima volta sul Nexus4 attendo con ansia anche questo G!
Curioso di vedere se anche a questo giro Asus rilascerà rapidamente una patch per i suoi ZenFone2, ultimamente si è data molto da fare, chissà che un giorno non decida di passare ad un Asus.


CIAWA
devilred03 Ottobre 2015, 11:05 #4
ed ecco a voi il windows xp degli smartphone. android e' un colabrodo.
the_joe03 Ottobre 2015, 11:14 #5
Originariamente inviato da: doctor who ?
Imho conviene prendere un dispositivo moddabile, con una folta community su xda, ed ogni tanto con un po' di pazienza flashare una nuova rom


Si in effetti è normale che un utente si debba affidare alla community (di cui fra l'altro ignora l'esistenza) per avere assistenza su un prodotto, come se per avere assistenza sulla lavatrice si dovesse andare dal pusher in piazza dopo la mezzanotte.....
Utonto_n°103 Ottobre 2015, 11:54 #6
Originariamente inviato da: doctor who ?
Imho conviene prendere un dispositivo moddabile, con una folta community su xda, ed ogni tanto con un po' di pazienza flashare una nuova rom


se... e adesso mi compero pure un'automobile per la quale la casa madre non mi da assistenza, così, in caso di problemi è meglio andare dal primo meccanico improvvisato oppure devo arrangiarmi col fai da te... fantastico!
Devo avere conoscenze informatiche di un certo livello per usare in sicurezza un cellulare?? ma stiamo scherzando?? e poi mi vengono a dire di fare l'affarone e acquistare pure cellulari di sottomarche cinesi che hanno millemila Hz, giga e fanta prestazioni
Balthasar8503 Ottobre 2015, 12:04 #7
Originariamente inviato da: the_joe
Si in effetti è normale che un utente si debba affidare alla community (di cui fra l'altro ignora l'esistenza) per avere assistenza su un prodotto, come se per avere assistenza sulla lavatrice si dovesse andare dal pusher in piazza dopo la mezzanotte.....

La lavatrice? Io direi più il PC che hai in ufficio dove lavori e fai anche home-banking.
Sullo smartphone ci passa tutta la mia vita e sinceramente mi fido (un po', non moltissimo!) più di Google (o di aziende riconosciute) che di team di ragazzotti smanettoni più o meno amatoriali mai visti in faccia.

Con questo non voglio minare l'incrollabile fede che molti dell'ambiente tecnologico ripongono verso questi paladini della giustizia e della libertà, eroi dalla lucente armatura che si prodigano per noi tutti senza chiedere nulla in cambio.. però.. ci vado cauto.
Ovviamente chi non ha simili necessità può anche soprassedere come ho fatto fino a ieri ed utilizzar tutte le ROM che meglio crede senza problemi.


CIAWA
doctor who ?03 Ottobre 2015, 12:35 #8
Originariamente inviato da: the_joe
Si in effetti è normale che un utente si debba affidare alla community (di cui fra l'altro ignora l'esistenza) per avere assistenza su un prodotto, come se per avere assistenza sulla lavatrice si dovesse andare dal pusher in piazza dopo la mezzanotte.....


Originariamente inviato da: Utonto_n°
se... e adesso mi compero pure un'automobile per la quale la casa madre non mi da assistenza, così, in caso di problemi è meglio andare dal primo meccanico improvvisato oppure devo arrangiarmi col fai da te... fantastico!
Devo avere conoscenze informatiche di un certo livello per usare in sicurezza un cellulare?? ma stiamo scherzando?? e poi mi vengono a dire di fare l'affarone e acquistare pure cellulari di sottomarche cinesi che hanno millemila Hz, giga e fanta prestazioni


Non ho detto che è normale o bello, questa è stata una vostra assunzione.
I fatti sono questi, così è.
Quindi se vuoi android e vantarti dei fantamiliardi di Hz e i pepermilioni di RAM
Tieni in considerazione che il device sarà supportato per circa un anno, se è un nexus magari qualche mesetto extra.

Alternativa 1 ti compri un iPhone
Alternativa 2 ti compri un device moddabile e leggi qualche guida.*

* Se ti fai un giro sui vari forum\siterelli italiani androidolandia\megandroidz\androidFTW noterai che l'età media è molto bassa.
Ora, immagino che se un 15enne random è capace di installare l'ultima paranoid sul suo cellulare, sicuramente può riuscirci anche il meno capace di questo forum.
Gli utenti medi lasciali stare, quelli scaricano le app gratuite dai siti cinesi random, non sarà una patch a tenerli al sicuro.


Originariamente inviato da: johnp1983
Imho conviene stare sereni, perchè nessuno vi ruberà mai un cazzo dal vostro smarthpone!


Più o meno è vero per molti, ma alcuni usano il cellulare per l'internet banking\paypal.
Poi si può sempre essere iscritti a servizi a pagamento

Originariamente inviato da: Balthasar85
La lavatrice? Io direi più il PC che hai in ufficio dove lavori e fai anche home-banking.
Sullo smartphone ci passa tutta la mia vita e sinceramente mi fido (un po', non moltissimo!) più di Google (o di aziende riconosciute) che di team di ragazzotti smanettoni più o meno amatoriali mai visti in faccia.

Con questo non voglio minare l'incrollabile fede che molti dell'ambiente tecnologico ripongono verso questi paladini della giustizia e della libertà, eroi dalla lucente armatura che si prodigano per noi tutti senza chiedere nulla in cambio.. però.. ci vado cauto.
Ovviamente chi non ha simili necessità può anche soprassedere come ho fatto fino a ieri ed utilizzar tutte le ROM che meglio crede senza problemi.


CIAWA


Alcuni pubblicano su github
bobafetthotmail03 Ottobre 2015, 12:49 #9
Ricordo che i telefoni del progetto Android One hanno ricevuto la patch per il primo bug Stagefright.

Android One è un progetto di Google dove brandizza cinafonini con caratteristiche da fascia media dove contano e gli fa e tiene aggiornato il firmware almeno due anni.

Prezzi sotto ai 200 euro.

http://pocketnow.com/2015/09/18/android-one-europe

Originariamente inviato da: devilred
ed ecco a voi il windows xp degli smartphone. android e' un colabrodo.
Vuoi vedere un bollettino di sicurezza di Windows dove ogni mese escono 10+ bug da patchare?

Sullo smartphone ci passa tutta la mia vita e sinceramente mi fido (un po', non moltissimo!) più di Google (o di aziende riconosciute) che di team di ragazzotti smanettoni più o meno amatoriali mai visti in faccia.
Senza nulla togliere al succo del discorso (deve essere il produttore che muove il culo e aggiorna, non io che mi metto a cercare firmware custom), faccio notare che non è corretto mettere progetti multidispositivo di grosse dimensioni con azienda al seguito come CyanogenMod (che lo usa come base per Cyanogen OS) sullo stesso piano di un ragazzotto che fa "la sua prima ROM" sui forum di XDA.

Alcuni pubblicano su github
Tutti quelli su xda lo fanno. Sennò li bannano.
WarDuck03 Ottobre 2015, 12:54 #10
Originariamente inviato da: devilred
ed ecco a voi il windows xp degli smartphone. android e' un colabrodo.


Il problema grande è la lentezza negli aggiornamenti... non a caso hanno messo il componente WebView (di fatto è la finestra WebKit che può usare chiunque voglia sviluppare app) aggiornabile dallo store.

In questo caso il problema è un po' più "sotto", perché riguarda una libreria utilizzata.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^