Attacco Stagefright: basta un singolo messaggio di testo per hackerare uno smartphone Android

Attacco Stagefright, la Madre di tutte le vulnerabilità Android mette a rischio 950 milioni di smartphone

Oltre il 95% degli smartphone Android in circolazione, ovvero circa 950 milioni di smartphone, potrebbe essere vulnerabile a un attacco di hacking unico ma critico chiamato Stagefright.

Joshua Drake di Zimperium Mobile Security ha scoperto sei + una vulnerabilità critica nel motore di riproduzione multimediale nativo chiamato Stagefright. Chiama queste debolezze ‘Madre di tutte le vulnerabilità Android’.

Drake ha affermato che le vulnerabilità possono essere sfruttate inviando un singolo messaggio di testo multimediale a uno smartphone Android non aggiornato. Sebbene l’exploit sia letale, in alcuni casi, dove i telefoni analizzano il codice di attacco prima che il messaggio venga aperto, gli exploit sono silenziosi e l’utente avrebbe poche possibilità di difendere i propri dati.

Stagefright è uno strumento di riproduzione multimediale nativo utilizzato da Android e tutte queste debolezze risiedono in esso. Drake afferma che sono tutti bug di “esecuzione di codice remoto”, che consentono agli hacker malintenzionati di infiltrarsi nei dispositivi e di esfiltrare dati privati.

Secondo Drake, tutto ciò che il potenziale hacker deve fare è inviare gli exploit ai numeri di telefono mobile potenzialmente vulnerabili. Da lì, potrebbero inviare un exploit confezionato in un messaggio multimediale Stagefright (MMS), che consentirebbe loro di scrivere codice sul dispositivo e rubare dati da sezioni del telefono che possono essere raggiunte con i permessi di Stagefright.

Una volta che la vulnerabilità è sfruttata, gli hacker possono accedere a quasi tutto, inclusa la registrazione di audio e video, spiare foto memorizzate nelle schede SD. Anche il modesto radio Bluetooth può essere hackerato tramite Stagefright.

A seconda dell’applicazione MMS in uso, la vittima potrebbe non sapere mai di aver ricevuto un messaggio.

Le vulnerabilità sono così critiche che inviare un codice di exploit al Google Hangouts della vittima “attiverebbe istantaneamente l’exploit anche prima che l’utente possa guardare lo smartphone o prima che riceva anche la notifica”.

Un altro aspetto interessante dell’exploit è che, una volta consegnato, l’hacker può eliminare il messaggio prima che l’utente venga avvisato, rendendo gli attacchi completamente silenziosi.

Drake fornirà la divulgazione completa insieme alla Prova di Concetto al Def Con il 6 agosto. Ha dichiarato a Forbes di aver segnalato i bug ad aprile di quest’anno e Google ha inviato le patch ai suoi partner di produzione di smartphone.

Drake ha affermato che un totale di sette vulnerabilità erano state inviate a Google entro il 9 aprile 2015 e Google gli ha riferito che aveva programmato le patch per l’8 maggio 2015. Inoltre, Google ha assicurato a Drake che tutte le future versioni di Android saranno rilasciate pre-patchate contro queste vulnerabilità.

Tuttavia, come avviene con qualsiasi aggiornamento di smartphone Android, i produttori di smartphone raramente trasmettono le patch agli utenti finali dello smartphone. In particolare, i produttori più piccoli che realizzano smartphone Android localizzati. Pertanto, si può ragionevolmente presumere che quasi 950 milioni di smartphone e tablet Android in circolazione possano essere sfruttabili utilizzando la vulnerabilità Stagefright.

“Tutti i dispositivi dovrebbero essere considerati vulnerabili”, ha detto Drake a Forbes. Drake afferma che solo i telefoni Android al di sotto della versione 2.2 non sono colpiti da questa particolare vulnerabilità.

“Ho fatto molti test su un Galaxy Nexus Ice Cream Sandwich… dove l’MMS predefinito è l’applicazione di messaggistica Messenger. Quella non si attiva automaticamente, ma se guardi l’MMS, si attiva, non devi provare a riprodurre i media o altro, devi solo guardarlo,” ha aggiunto Drake.

In una dichiarazione inviata via email a Forbes, Google ha ringraziato Drake per aver segnalato i problemi e fornito le patch, notando che i suoi partner produttori dovrebbero implementarle nelle prossime settimane e mesi.

“La maggior parte dei dispositivi Android, inclusi tutti i dispositivi più recenti, ha più tecnologie progettate per rendere l’exploitation più difficile. I dispositivi Android includono anche un sandbox applicativo progettato per proteggere i dati degli utenti e altre applicazioni sul dispositivo,” ha dichiarato un portavoce. Il portavoce di Google ha contattato Techworm e ha detto che spingeranno ulteriori patch per i dispositivi Nexus la prossima settimana prima dell’inizio del DefCon 2015. L’email afferma anche che Google aveva già emesso una correzione ai produttori di smartphone, tuttavia l’email non ha chiarito quali produttori di smartphone avessero emesso patch agli utenti finali. L’email dice “Questa vulnerabilità è stata identificata in un contesto di laboratorio su dispositivi Android più vecchi e, per quanto ne sappiamo, nessuno è stato colpito. Non appena siamo stati informati della vulnerabilità, abbiamo preso immediatamente provvedimenti e inviato una correzione ai nostri partner per proteggere gli utenti. “Come parte di un aggiornamento di sicurezza programmato regolarmente, prevediamo di spingere ulteriori misure di sicurezza ai dispositivi Nexus a partire dalla prossima settimana. E, lo rilasceremo in open source quando i dettagli saranno resi pubblici dal ricercatore a BlackHat.”

Il DefCon 2015 inizia nella prima settimana di agosto 2015 e ci aspettiamo che molte vulnerabilità vengano rese pubbliche durante il corso della principale conferenza di hacking del mondo. Stiamo anche cercando commenti da parte di Google sulla nuova vulnerabilità Silent Attack rivelata da Trend MicroLabs, che rende vulnerabili quasi 500 milioni di smartphone Android.