Patch incompleto di Stagefright da Google lascia gli utenti Android in balia degli hacker

I ricercatori scoprono difetti nel patch Stagefright poco elaborato emesso da Google per smartphone e tablet Android

Sembra che il bug Stagefright di Android stia diventando un vero problema per Google. Risolvere il ‘bug Stagefright’ sui dispositivi Android sta richiedendo più tempo di quanto Google potesse sperare!

Verso la fine del mese scorso, quando il ricercatore di sicurezza, Joshua Drake, ha rivelato i dettagli della vulnerabilità Stagefright, Google è stata abbastanza veloce da fornire le patch necessarie. Anche vari altri produttori di Android e operatori hanno collaborato per risolvere il problema sulla maggior parte dei dispositivi Android. Alcuni di loro hanno anche annunciato di rilasciare patch mensili che in realtà sono state stabilite come conseguenza del bug Stagefright.

Tuttavia, sembra che le patch rilasciate da Google fossero poco elaborate e fissate in fretta. I ricercatori di Exodus Intelligence hanno scoperto un difetto in una delle patch emesse da Google e affermano che, in condizioni appropriate, il dispositivo Android è ancora vulnerabile all’attacco Stagefright.

Sono passati solo otto giorni da quando Google, i produttori di Android e gli operatori hanno emesso le patch appropriate per i loro rispettivi dispositivi. Dopo il rilascio della patch, i ricercatori di Exodus Intelligence sono stati in grado di attivare con successo un crash di sistema in un dispositivo Android. Sembra che il team di ricerca abbia utilizzato un file mp4 opportunamente codificato tramite MMS per attaccare il telefono.

I ricercatori hanno inviato una dichiarazione via email affermando: “Il riassunto è che la vulnerabilità Stagefright è ancora sfruttabile e la patch di 4 righe che è stata implementata è difettosa. Siamo stati in grado di attivare il difetto che colpisce ancora oltre 950 milioni di dispositivi Android.”

Attualmente non è chiaro se il bug possa essere sfruttato solo per l’esecuzione di codice o se possa essere utilizzato anche per lo spegnimento del sistema.

D’altra parte, non appena Exodus ha segnalato il problema insieme alla patch a Google, quest’ultima ha immediatamente reso open source la patch per il difetto.

Google ha confermato di aver già inviato una seconda patch per il problema.

In una dichiarazione Google ha detto: “Abbiamo già inviato la soluzione ai nostri partner per proteggere gli utenti, e Nexus 4/5/6/7/9/10 e Nexus Player riceveranno l’aggiornamento OTA nel pacchetto di sicurezza mensile di settembre.”

Attualmente, non è confermato se i telefoni non Nexus riceveranno anche la seconda patch; tuttavia, sembra che i dispositivi saranno forniti di questa nuova patch inclusa nel sistema di patch mensili che sarà rilasciato presto, come già confermato in precedenza da Google, dai produttori di Android e da alcuni operatori.

Di solito, ogni volta che viene scoperto un bug o una vulnerabilità, deve esserci un periodo di preavviso standard di 30 giorni, che darebbe tempo sufficiente all’azienda per comprendere il difetto e fornire una patch adeguata per mitigare il problema. Tuttavia, i ricercatori di Exodus Intelligence hanno rivelato il bug piuttosto rapidamente e Google ha avuto meno di una settimana di tempo per progettare e distribuire la patch per il difetto evidenziato.

Tuttavia, Exodus ritiene che il difetto fosse parte della divulgazione della vulnerabilità Stagefright che era già stata segnalata a Google circa quattro mesi fa e sorprendentemente Google stava ancora utilizzando una patch difettosa. Pertanto, nel contesto attuale, quando c’è una forte consapevolezza pubblica per l’attacco Stagefright, Exodus non ha potuto mantenere il bug segreto.

Exodus ha aggiunto:

“C’è stata un’attenzione eccessiva rivolta al bug. Crediamo di non essere gli unici ad aver notato che è difettoso. Altri potrebbero avere intenzioni malevole.”

Tuttavia, Google ha sottolineato l’importanza dei sistemi di mitigazione come la Randomizzazione del Layout dello Spazio degli Indirizzi (ASLR) che è presente nei dispositivi Android. Ha rilasciato una dichiarazione che afferma “attualmente oltre il 90% dei dispositivi Android ha una tecnologia chiamata ASLR abilitata, che protegge gli utenti da questo problema.”

Bene, per ora, gli utenti Android devono essere cauti e all’erta ogni volta che aprono messaggi ricevuti da fonti sconosciute. Si prega di fare riferimento all’analisi dettagliata di Stagefright e a come si può fermare l’attacco Stagefright menzionato nel nostro articolo precedente.