Stagefright 2.0, nuovi bug multimediali su Android

Dopo aver individuato diverse vulnerabilità nella libreria Stagefright di Android, Joshua Drake, ricercatore dei Zimperium zLabs, ha scoperto altri due bug che possono essere sfruttati per nascondere malware all’interno di file MP3 e MP4. Secondo la software house sono a rischio oltre un miliardo di dispositivi Android, molti dei quali devono ancora ricevere la patch per le precedenti vulnerabilità.

Stagefright 2.0, come è stato definito questo ennesimo problema di sicurezza, consente l’esecuzione di codice arbitrario contenuto in file audio MP3 e file video MP4. Il primo bug, identificato come CVE-2015-6602, è presente nella libreria libutils incluso in tutte le versioni del sistema operativo Google, a partire da Android 1.0 del 2008. La seconda vulnerabilità, alla quale non è stato ancora assegnato il numero CVE, è presente nella libreria libstagefright usata durante l’elaborazione dei file multimediali sui dispositivi più moderni (Android 5.0 e versioni successive).

Il principale vettore di attacco (invio MMS) è stato rimosso nelle ultime versioni delle app Hangouts e Messenger, ma ci sono altri tre metodi che possono essere sfruttati dai malintenzionati. Mediante il mobile spear-phishing o una campagna pubblicitaria fasulla, l’utente potrebbe essere convinto ad aprire un indirizzo che punta al sito web controllato dal cracker. È possibile anche intercettare il traffico su una rete WiFi pubblica ed effettuare un attacco MITM (man-in-the-middle). Il pericolo può infine arrivare da app di terze parti che usano le due librerie.

Zimperium ha segnalato il problema a Google e non rilascerà nessun proof-of-concept. Solo dopo la distribuzione della patch, l’azienda aggiornerà l’app Stagefright Detector per consentire la rilevazione delle vulnerabilità. I Nexus riceveranno il fix la prossima settimana. Tempi più lunghi (o infiniti) per i dispositivi di altri produttori.