Stagefright: le patch di correzione non sono così affidabili, secondo Google

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Per molti probabilmente si tratta di un capitolo chiuso: Stagefright, la vulnerabilità che tanto panico ha scatenato all’interno della community Android per via della sua larga capacità di contagio (i dispositivi vulnerabili andavano da Android 2.1.1 ad Android 5.1) non è un’emergenza del tutto rientrata; a riferirlo non sono dei programmatori o degli analisti qualunque, bensì i ricercatori di Project Zero, la sezione di Alphabet (o di Google, dato che più o meno è la stessa cosa) che si occupa di test e sviluppo di software contro le vulnerabilità, appunto, del sistema operativo Android.

I dubbi riguardo un possibile ritorno di Stagefright, o che quantomeno consigliano di non rientrare l’allarme, riguardano proprio il sistema d’approccio che le case di produzione e la Google stessa hanno utilizzato per combattere la minaccia. Un metodo che n chiude il buco nè ci pone sopra una pezza, ma che semplicemente si limita a diminuirne le dimensioni.

Siete pronti a scoprire tutti i dettagli su Stagefright?

Che cos’è Stagefright

Stagefright vulnerabilità Android 5
Stagefright ha seminato il panico su Android

Soffermiamoci a compiere un piccolo ripasso riguardo Stagefright: perchè questa vulnerabilità ha scatenato tanto panico nella community Android? Così come accennavamo nell’introduzione, uno dei principali motivi che ha spinto le case di sviluppo a rilasciare in maniera relativamente tempestiva le patch di correzione è dato dalla grande fascia d’utenza esposta al rischio di contagio: solamente gli smartphone Android 2.1 o inferiori erano virtualmente invulnerabili. Stagefright agisce infatti sfruttando un errore di programmazione della libreria Android per la lettura di file multimediali: inviando un MMS o scaricando un file contenente il materiale infetto, di default il sistema operativo avrebbe tentato di riprodurlo in automatico, riscontrando di conseguenza un errore ed andando completamente in crash, lasciando mano libera al malware.

Potete saperne di più leggendo il nostro Approfondimento dedicato a Stagefright: come si comporta, dove si trova e come difendersi.

Le patch di correzione

Per far fronte a quest’emergenza dilagante Google aveva rilasciato immediatamente i file necessari per avviare una correzione del sistema operativo, lasciando che fossero i produttori a provvedere – come sempre – a sistemare il problema nei propri smartphone; e così è stato, ed ancora oggi alcuni device attendono il rilascio della propria patch risolutiva.

Stagefright vulnerabilità Android 1
Gli aggiornamenti non sarebbero poi così risolutivi

Ma a dirla tutta, secondo i ricercatori di Project Zero che hanno analizzato Stagefright in lungo ed il largo, il sistema di difesa imbastito per neutralizzare la vulnerabilità non sarebbe efficace al punto da escludere di principio un contagio; semplicemente si limita a rendere molto meno probabile che se uno smartphone venuto a contatto con un file infetto ne venisse attaccato, andrebbe in crash automaticamente.

La tecnologia utilizzata (che prende il nome di Address Space Layout Randomization, ASLR in breve) si occupa di tenere a bada Stagefright quanto basti perchè l’utente chiuda il browser dal quale il file infetto sta cercando di guadagnarsi uno sbocco, cancelli le cache e provveda a chiudere l’eventuale pubblicità pop-up; i test hanno riportato che ASLR ha saputo proteggere un device per più di un’ora, un tempo sufficientemente ragionevole per permettere all’utente di rendersi conto dell’attacco in corso e provvedere adeguatamente. La brutta notizia riguarda però una porzione di test che hanno visto Stagefright vittorioso su ASLR in meno di un minuto. Perchè dunque questa casualità di risultati?

Il problema di ASLR

Come funziona l’Address Space Layout Randomization? In termini pratici esistono 256 possibili sbocchi per cui la vulnerabilità possa accedere al device, ma solo uno di questi può essere utilizzato; di conseguenza ogni volta che Stagefright tenta di penetrare ma fallisce, ASLR esegue un reboot in maniera tale che il malware non possa sfruttare le informazioni acquisite nei tentativi precedenti.

Stagefright vulnerabilità Android 3
È possibile un ritorno di Stagefright?

Stagefright è nativamente programmato per concedere un reboot ogni cinque secondi, il che significa che la vulnerabilità possiede un minimo di dodici tentativi al minuto; se per ciascuno di questi tentativi Stagefright ha una possibilità su 256 di riuscire a individuare il punto più debole del sistema operativo al primo colpo, significa che per ogni minuto esiste il 4% delle possibilità che Stagefright mandi in crash il device. Un numero certamente da non sottovalutare.

Come rimediare dunque? La soluzione definitiva potrebbe essere rappresentata da una correzione dell’intero sistema di riproduzione multimediale di Android: ogni qualvolta che Stagefright esegue un riavvio, l’audio del video infetto si interrompe; impedendo questa interruzione si impedirebbe anche il reboot, e di conseguenza ASLR diventerebbe finalmente la barriera necessaria per impedire qualunque accesso da parte della vulnerabilità. Ma si trattano, purtroppo, di aggiornamenti realizzabili in un’ottica a lungo termine.

Difendersi da Stagefright? Si può! Ecco QUI le quattro applicazioni con cui ridurre sensibilmente il rischio di contagio!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè i prossimi Approfondimenti nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sulla nostra pagina Google Plus, o, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

[wysija_form id=”3″]

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//