Android Stagefright, la patch è incompleta

Una delle vulnerabilità scoperte da Zimperium Mobile Security non è stata ancora risolta. Google ha già rilasciato un bug fix per i Nexus e AOSP (Android Open Source Project), ma i ricercatori di Exodus Intelligence hanno verificato che la patch è incompleta. Milioni di dispositivi sono ancora attaccabili da remoto attraverso un MMS contenente codice infetto che sfrutta il problema individuato nella libreria multimediale Stagefright.

Le sette vulnerabilità, rese pubbliche a fine luglio, hanno ricevuto molta attenzione dai media specializzati e dai partecipanti alla conferenza Black Hat di Las Vegas, in quanto considerate tra le peggiori mai scoperte su Android. La libreria Stagefright, che elabora i contenuti multimediali, è stata inclusa nel sistema operativo dalla versione 2.2 Froyo. Ciò significa che i dispositivi potenzialmente a rischio sono oltre 950 milioni. Anche se Google ha rilasciato un aggiornamento per i Nexus e altri produttori hanno promesso una patch in tempi brevi, il bug non è stato completamente risolto.

La vulnerabilità identificata come CVE-2015-3824 era stata temporaneamente risolta con la modifica di 4 linee di codice. Esaminando il codice di Android 5.1.1 Lollipop su Nexus 5, Exodus ha scoperto che la patch può essere bypassata con un file MP4, provocando il crash del sistema. Google ha confermato il problema, assegnando al nuovo bug l’identificatore CVE-2015-3864. L’azienda di Mountain View ha comunque sottolineato che il 90% dei dispositivi è al sicuro grazie alla tecnologia ASLR.

Il nuovo fix per Nexus 4/5/6/7/9/10 e Nexus Player verrà distribuito a settembre. Si spera che gli altri produttori seguano Google e rilascino l’aggiornamento al più presto. Non è chiaro se Oxygen OS 1.0.2 per OnePlus One corregga tutte le vulnerabilità. La nuova versione del tool Stagefright Detector rileva correttamente il bug CVE-2015-3864.