Il tuo smartphone Android può essere hackerato semplicemente guardando un video malevolo

Attenzione! Aprire un video su Android può hackerare il tuo smartphone

Più di un miliardo di dispositivi che eseguono versioni tra Android 7.0 Nougat e Android 9.0 Pie stanno affrontando una vulnerabilità critica di esecuzione remota di codice (RCE), riporta The Hacker News.

Il difetto critico RCE (CVE-2019-2107) in questione risiede nel framework multimediale di Android utilizzato per la riproduzione dei media. La vulnerabilità, se sfruttata, consente a un hacker di lanciare un attacco remoto utilizzando un file appositamente creato per eseguire codice arbitrario sullo smartphone target.

L’attaccante deve semplicemente incoraggiare l’utente a riprodurre un file video malevolo appositamente progettato tramite il lettore video nativo di Android o un’app video di terze parti che utilizza il framework multimediale di Android. Può quindi, con un payload, ottenere un’elevazione dei privilegi e poi il completo controllo del dispositivo.

All’inizio di questo mese, Google ha rilasciato un aggiornamento di sicurezza per questa vulnerabilità critica.

“La vulnerabilità più grave in questa sezione [framework multimediale] potrebbe consentire a un attaccante remoto di utilizzare un file appositamente creato per eseguire codice arbitrario nel contesto di un processo privilegiato,” ha descritto Google la vulnerabilità nel suo Bollettino di Sicurezza Android di luglio. Tuttavia, ci sono milioni di smartphone Android che sono ancora vulnerabili, poiché non hanno ancora ricevuto l’ultimo aggiornamento di sicurezza .

A peggiorare le cose, Marcin Kozlowski, uno sviluppatore Android con sede in Germania, ha caricato una prova di concetto per questo attacco su GitHub, che rende possibile far crashare i dispositivi tramite un file video. La PoC include anche dettagli su come condurre RCE su telefoni LineageOS e Samsung.

Sebbene la PoC (un video codificato HEVC) condivisa da Kozlowski faccia solo crashare il lettore multimediale, il ricercatore avverte che è possibile eseguire codice arbitrario sui dispositivi target con un video correttamente preparato.

Vale la pena notare che l’attacco non funziona se tali video malevoli vengono ricevuti tramite piattaforme di social media come Twitter, WhatsApp, YouTube o Messenger, poiché questi servizi, prima di inviare, solitamente comprimono i video e ricodificano i file multimediali, alterando il codice malevolo incorporato.

Correlato - Le app Android stanno raccogliendo dati degli utenti anche dopo aver negato il permesso

Pertanto, si consiglia agli utenti di evitare di scaricare e riprodurre video casuali da fonti sconosciute o non affidabili. Si raccomanda inoltre agli utenti di installare l’ultimo aggiornamento di sicurezza Android non appena è disponibile una patch.