bug
Tutti i dispositivi Android a rischio hack: basta lanciare un MP3 o un MP4
Vincenzo Gramuglia su mondoinformatico, 03\09\2015, h. 10.31.

Zimperium ha rilasciato i dettagli di una nuova vulnerabilità scoperta
su Android che permette l'esecuzione di codice malevolo semplicemente in
seguito all'esecuzione di un file MP3 o MP4
di Nino Grasso
 pubblicata il 03 Ottobre 2015, alle 09:01 nel canale
Telefonia

Sono 1,4 miliardi i dispositivi Android in circolazione in tutto il
mondo, e sono tutti potenziali vittime del nuovo bug Stagefright che
coinvolge la piattaforma del robottino verde. Tutte le versioni
sembrerebbero essere vulnerabili alla nuova falla scoperta dalla firma
di sicurezza Zimperium che può essere eseguita semplicemente con la
riproduzione di un file audio o un file video, rispettivamente nelle
estensioni MP3 ed MP4.
La falla si compone di due bug: il primo si trova nella libreria
libutils disponibile su tutte le versioni Android dalla 1.0 in poi.
Questa può essere sfruttata anche sui dispositivi più recenti e protetti
sfruttando una seconda vulnerabilità insita nella libreria
libstagefright, utilizzata per l'elaborazione dei file multimediali. Al
momento in cui scriviamo Google ha emesso un indice CVE solo per il
primo bug (CVE-2015-6602).
Se utilizzate insieme, le falle permettono agli aggressori di eseguire
codice malevolo anche sugli smartphone mossi da Android 5.0 e
successivi. Secondo Zimperium la vulnerabilità si trova nel
processamento dei metadati all'interno dei file, quindi basta eseguire
un'anteprima degli stessi su applicazioni di terze parti o attraverso i
servizi nativi del dispositivo per consentire all'exploit di prendere
piede al suo interno.
Se il primo bug Stagefright rendeva vulnerabili i dispositivi Android
via un MMS, il vettore per la nuova versione scoperta può essere il
browser web, o applicazioni di terze parti come media player o client di
messaggistica. Il sistema di protezione nativo usato su Android risulta
vagamente efficace contro gli attacchi Stagefright, con Google che è
chiamata nuovamente in causa per rilasciare una patch di sicurezza
apposita per il suo sistema operativo.
Big G si è già fatta sentire mostrandosi più che solerte: la patch verrà
rilasciata la prossima settimana, con il roll-out sui dispositivi Nexus
che avverrà nei giorni successivi. Per i dispositivi di altri brand ci
vorrà invece qualche tempo in più.
www.hwupgrade.it/news/telefonia/tutti-i-dispositivi-android-a-rischio-hack-basta-lanciare-un-mp3-o-un-mp4_59042.html