12 Novembre 2015
Qualche giorno fa alcuni ricercatori hanno scoperto una vulnerabilità critica in Stagefright, un motore di riproduzione di contenuti multimediali che è parte di Android già da qualche anno. Questa vulnerabilità è potenzialmente molto pericolosa, perché permette di infettare automaticamente un dispositivo senza alcuna possibilità di evitarlo da parte dell'utente.
Il problema
Tutto ciò che un hacker deve fare per infettare un dispositivo è creare un breve video con il codice malevolo al suo interno e inviarlo via MMS. Alcune app processano messaggi di questo tipo nell'istante esatto in cui vengono ricevuti, anche prima di riprodurre il tono di notifica, in modo tale che sia immediatamente fruibile dal destinatario. Nell'esatto momento in cui il video viene processato, si attiva il codice malevolo che attacca Stagefright e da quel punto in poi il telefono è compromesso. Un hacker ha virtualmente libero accesso a qualsiasi dato e operazione sul dispositivo: può cancellare e copiare informazioni indisturbato o prendere controllo di fotocamera e altri sensori.
Dispositivi potenzialmente colpiti
La vulnerabilità di Stagefright è presente in quasi tutti i dispositivi Android. Secondo i ricercatori, ci attestiamo a circa il 95% del mercato. Ci sono per fortuna alcune attenuanti significative: primo, ormai in pochi usano gli MMS (molti non hanno nemmeno più il relativo APN configurati); secondo, solo alcune app processano all'istante i contenuti multimediali degli MMS, per esempio Hangouts. Le app di messaggistica integrate, o anche Google Messenger, in genere non si comportano in questo modo. Questo dà la possibilità all'utente finale di decidere se aprire o meno un messaggio sospetto da un mittente sconosciuto.
App
Se volete controllare se il vostro device è affetto da questa vulnerabilità, sono state rilasciate su Google Play alcune app "Stagefright Detector"; vi segnaliamo quella di Zimperium, ovvero i ricercatori che l'hanno scoperta, e quella di Lookout. Potrebbero essercene altre, ma su cose come queste è facile che il malware proliferi. Meglio attenersi a fonti super-sicure come queste due.
Altri veicoli per l'attacco
Gli MMS sono solo il sistema più pericoloso per condurre un attacco a Stagefright, ma il problema è integrato in Android. Di fatto, tutto ciò che serve per colpire un device è un video infettato nel modo "giusto". Il punto è che, da qualsiasi altro canale, la vulnerabilità di Stagefright è solo "una delle tante": se arriva da browser, per esempio, è l'utente che deve volontariamente scaricare il video e riprodurlo.
Soluzioni
La falla di sicurezza, quindi, è parte integrante del codice di Android. Google si è quindi messa al lavoro per risolverlo, e ha preparato una patch correttiva in tempi rapidi. Aggiornamenti per tutti i dispositivi Nexus (dal 4 in poi) sono stati già rilasciati nella giornata di ieri. Gli altri produttori hanno probabilmente ricevuto il codice corretto in tempi brevissimi, ed è molto probabile che siano al lavoro sul suo adattamento ai device già immesso sul mercato. I tempi esatti di rilascio ovviamente non sono noti, ma è probabile che si tratterà di qualche settimana al massimo. Più difficile da prevedere è quale percentuale di device riceverà l'update. Arriverà su qualsiasi prodotto? O solo su quelli cosiddetti "di punta"? Quanti rimarranno indietro?
Rischi reali per gli utenti
Di fatto, almeno in questo momento, le possibilità di essere attaccati sfruttando la vulnerabilità di Stagefright sono piuttosto scarse. Per cominciare, i ricercatori non hanno divulgato come va creato il video, quindi i malintenzionati dovranno trovare la soluzione per conto loro. Secondo, come abbiamo già detto, gli MMS non sono mai stati molto diffusi, e con l'avvento degli instant messenger via Internet sono ormai ai minimi storici. Per sicurezza, in ogni caso, è meglio disattivare la relativa APN. Terzo, la maggior parte delle app di messaggistica preinstallate in un telefono non processano i contenuti in automatico, lasciando quindi un po' di spazio di manovra agli utenti finali.
In generale, è consigliabile disattivare sulle proprie app di messaggistica (istantanea e SMS) il recupero automatico dei contenuti multimediali, e naturalmente vale la regola d'oro di fare attenzione a chi vi invia cosa.
Conseguenze
Per il momento tutta la faccenda Stagefright ha comportato per noi utenti solo vantaggi, e anche molto interessanti. Google, per esempio, ha annunciato una nuova politica di aggiornamenti secondo cui verranno rilasciati aggiornamenti della sicurezza su base mensile, e per ben tre anni dalla data di uscita di un dispositivo. Al tempo stesso, anche il supporto per il rilascio di nuove versioni di Android è stato esteso da 18 mesi a 24. Samsung ha rilasciato una dichiarazione analoga relativa al lato sicurezza, promettendo anch'essa aggiornamenti su base mensile (nessuna menzione sull'estensione del supporto software da 18 a 24 mesi, però). Anche LG si è unita agli altri due, attraverso un comunicato stampa diffuso da Wired nella serata di ieri:
LG will be providing security updates on a monthly basis which carriers will then be able to make available to customers immediately. We believe these important steps will demonstrate to LG customers that security is our highest priority.
È quindi più che probabile aspettarsi che anche gli altri produttori - almeno i big, come Sony, HTC, Huawei, Motorola etc - si allineeranno a questa nuova policy, anche se al momento non sono state rilasciate indicazioni ufficiali.
Commenti
"naturalmente vale la regola d'oro di fare attenzione a chi vi invia cosa" ed è questa regola "d'oro" che continua a fare sì che l'amico infettetato infetti anche voi. In realtà un video virale inviato da un amico è altrettanto pericoloso che uno inviato da uno sconosciuto. Il 90% dei virus che ho visto funzionare arrivavano da conoscenti fidati (e ignari) o da istituzioni e aziende (fasulli) apparentemente affidabili. È proprio questo che frega i malcapitati, la malriposta fiducia, quindi smettiamola di ripetere di verificare da chi arriva il messaggio.
Si l'ultima Snapshot della cm11
Sei con la versione ufficiale della cm?
Stonex one dopo l'aggiornamento 1.2 è vulnerabile
maaaaa scusate l'ignoranza,per la vulnerabilità di samsung?
Moto G 2014 con Cyanogenmod 12.1 non vulnerabile.
Ah figurati anzi grazie di esserti ricordato :D....mi sa che allora rimango con l'ultima Snapshot della cyano 11
Scusami, non ti ho più risposto causa problemi vari. Siamo arrivati alla 3.1.3. Una meraviglia in tutto. L'unica pecca la batteria
lg g2 vulnerabile
Per Z3c è uscito l'update che corregge questa falla,per chi è su ron 5.1.1 rootata può installare una zip che pesa meno di 3 mega che contiene il fix
Hey anche io ho nite 4 ma ho kitkat 4.4.4
non ho fatto il test ma se aggiorno il mio telefono corro rischi?
Samsung s5 vulnerabile
Huawei p7 vulnerabile
Okk allora ricordati di avvertirmi quando esce la 3.1.1 ;)...da quel che ho capito dovrebbe uscire a breve no?
Figurati! Son stato aiutato anche io e ho ancora da impararne! Non l'ho provata ma ne ho sentito parlare anche io. È una versione ancora più rivista della CM, magari un giorno ci farò un salto ;)
Te ne sarei infinitamente grato se mi avvertissi quando uscirà la nuova versione e se mi guidassi...è difficile trovare persone disponibili come te, è parecchio che cerco ma Google in questo caso è una specie di giungla...comunque un altro utente mi ha consigliato la Blisspop,tu che dici? l'hai provata?
Cool tool non serve, il kernel è sempre l'archikernel, ha solo implementato il boeffla sound. A sto punto aspetta la versione 3.1.1 , dev'essere questione di giorni, e al massimo ci sentiamo e ti "guido" nell installazione se vuoi
Ok,poi c'era un'app chiamata cooltool serve a qualcosa o posso farne a meno? quindi usi il kernel boeffla? Avevo flashato la Archidroid ma poi sono tornato alla Cyano....Magari gli dò un'altra chance....nelle impostazioni iniziali dopo aver flashato la Archidroid posso lasciare tutto di default? Perché c'erano parecchie app facoltative...
Se puoi cambiare recovery passa alla TWRP. Per la funzione credo vada bene ma non usandola non ne sono sicuro al 100%. Essenziali sono quelle che bastano per far girare il tutto (play service/store e alcune altre piccole cose che comunque durante l'istallazione in aroma ti segnala. Tutte le altre le puoi installare dal play store e poi ibernarle con Greenify. Greenify lo attivi da impostazioni, accessibilità e tornando all'applicazione selezioni le app che vuoi che dopo un paio di minuti che lo schermo é spento vengano ibernate risparmiando batteria e liberando memoria in background (non selezionare app da cui vuoi ricevere notifiche) oppure ibernarle da schermo acceso con l'apposito pulsante. La frequenza la abbassi dall app che viene installata di default: Synapse alla voce Cpu (così scalda e consuma meno) e il boeffla sound è una feature del kernel boeffla, importato nel kernel proprietario della rom e permette di avere un volume più alto in cuffia da 50 a 57 e un suono decisamente migliore. Lo attivi alla voce Sound. Vai tranquillo chiedi quel che vuoi ;)
Allora io il Wipe lo faccio con la funzione "Clean to Install a new Rom" con la recovery Philz Touch,come Launcher uso Nova...per le Gapps quali sono le essenziali? (Io uso il Play Store,GDrive,Maps,Youtube,il traduttore e Gmail)...non ho mai capito poi come funziona greenify...la frequenza massima da dove la abbasso? Ah poi cos'è il Boeffla Sound? Scusa se ti tempesto di domande ma probabilmente Android non fa per me....infatti a breve pensionerò l's3
Prima di tutti serve un bel wipe completo, meglio anche system e internal storage (attento a spostare cio che ti serve nella sd) ti dico cos ho fatto io personalmente: boot stock, kernel scelto in automatico (ma sempre stock) in base alle scelte successive. Launcher CM stock (no google) tastiera google, google apps solo quelle essenziali, le altre le scarico io, delle app pre installate greenify tutta la vita, ti consiglio di non installare l'app di facebook, la peggiore al mondo per consumi. Sui setup del kernel ho abbassato le frequenza massima da 1600 a 1400 e abilitato il boeffla sound. Se posso esserti d'aiuto in altro chiedi pure:)
l'ho flashata ma mi sembrava lentuccia rispetto alla cyano....usi un altro kernel o quello della ROM? Scusa ma non sono molto esperto di modding :/
Allora passa ad occhi chiusi all Archidroid 3.1, con un buon utilizzo arrivo a 4h di schermo. Non ho mai provato una Rom così fluida, e a breve dovrebbe uscire un ulteriore update.
nemmeno 2 ore di schermo con uso blando :(....la rom va una meraviglia ma la batteria non dura nulla magari cambiando kernel....il problema è che non saprei cosa metterci
Concordo, però ha i suoi bug. L'ho messa momentaneamente in attesa di M. M aveva troppi bug
Nexus 9 lte 5.1.1non vulnerabile. Colgo l'occasione per comunicare che ho appena ricevuto u n update di sistema dal peso di 22.5 MB.
Stavo per verificare col mio, ma dato che son con lo stesso assetto non vale la pena. Vulnerabile
Nexus 5 con MIUI 5.8.6 vulnerabile
Sì, però almeno a me ha devastato un telefono. Alcune applicazioni le disinstallate e altre non vanno più
Quegli utenti (anche mio padre ne fa parte naturalmente) soliti al click di troppo su banner assurdi del tipo "hai 7000 virus clicca qui!" prendono malware, attivano suonerie a pagamento, inviano foto al cloud (che a seconda del soggetto vengono divulgate) senza saperlo, ecc. ecc. e tutto questo c'entra poco con android, è un tipo di utenza a rischio ovunque. Invece gli articoli che stiamo commentando parlano di terribili falle non gestibili anche dall'utente più esperto, catastrofi imminenti, dispositivi irrimediabilmente compromessi che sono come cancelli aperti per l'orda di hacker in arrivo. Cosa che puntualmente non si verifica, ma serve per far divertire tanto i fanb0y della mela.
Effettivamente nemmeno io in 4 anni di Android (ora sto su WP perché dovevo quietare la scimmia e mi ci trovo bene), ma mio padre c'è riuscito a beccare un bel malware in appena 6 mesi, telefono da formattare da 0. Ora gli ho messo malwarebytes, sperando serva a qualcosa. Ecco, forse utenti più esperti come noi non li beccano, ma si dovrebbe tener conto anche della maggioranza degli utenti.
huawei p8 lite vulnerabile...
ieri io ho controllato con l'app Zimperium, ed ero vulnerabile oggi ho ricontrollato e non lo sono più su note 4 è possibile che samsung abbia dato l'aggiornamento
ma gli aggiornamenti di sicurezza faranno parte dei vari bug fix nelle minor release di lollipop o saranno aggiornamenti a sè stanti? quindi jb kk o lp.
M9 con Viperone 3.5, non vulnerabile..
beh basta disatitvare il donwload auto
Tu hai citato l's3 io ti ho risposto riguardo l's3,in ogni caso nell'infografica c'è scritto che verranno patchati molti altri terminali(al momento chi di preciso non si sa)
Prima o poi stancherà anche te mio giovane padowan. La forza é grande dentro te
Ho letto su wiki (non so quanto possa essere affidabile) e c'è una lista di device/produttori già con il fix. Le ultime nightly 12.1 hanno già il fix dentro
Non l'ho letto da nessuna parte, ma è così. Come ho detto non so se siano effettivamente al sicuro o semplicemente il software non riconosca la vulnerabilità
Ah ah ah, non l'avevo neanche visto! E' anche già attivo di default, ottimo!
N4 Liquidsmooth 5.1.1 di qualche mese fa, vulnerabile.
Dov'è che hai letto questa cosa? Perché magari segna non vulnerabile quando in realtà lo è!
Le custom rom a base aosp non vengono riconosciute come vulnerabili. Non so se però siano davvero non vulnerabili o se sia un problema del. Tool
Nexus 4 con CyanogenMod 12.1(5.1.1 di Android) non vulnerabile
F5
ho letto tranquillo e stai buono.
non ne conosco uno che abbia avuto il cellulare infetto per queste cose.
android è cmq un colabrodo e non migliorerà sotto questo punto di vista. Si sono svegliati nel 2015 che gli aggiornamenti di sicurezza devono essere garantiti un tot di anni
io cmq con il mio GN il bug ce l'ho perchè è stato abbandonato..si ha 4 anni ma apple aggiorna ancora i suoi dopo 4 anni che in realtà sono aggiornamenti per i polli ma almeno quelli di sicurezza ce li infila dentro anche per chi ha terminali dell'era passata
N6 con android M ovviamente non vulnerabile :P
Se fa le anteprime video, sì.
Quello sarebbe il meno