Gaia Bottà

Crack Android, basta un numero di telefono

Sei vulnerabilità affliggono tutte le versioni di Android a partire dalla 2.2, vale a dire 950 milioni di dispositivi: consentono ad un malintenzionato di prendere il controllo del terminale o di alcune sue funzioni

Roma - Non serve altro che il numero di telefono della vittima potenziale per condurre un attacco che permette in molti casi di prendere il completo controllo del dispositivo Android della vittima: in attesa della presentazione in programma presso il Def Con nei prossimi giorni, Joshua Drake, ricercatore della security company Zimperium, ha tratteggiato l'attacco come efficace per 950 milioni di device, il 95 per cento dei dispositivi Android in circolazione.

Attacco Stagefright

Le sei vulnerabilità che rendono possibile il crack, spiega Drake, risiedono nella componente Stagefright, responsabile della gestione di diversi formati di file multimediali. Per sfruttare la paggiore di queste vulnerabilità basta indirizzare l'utente verso un video appositamente confezionato sul Web o inviarlo come messaggio.

Poiché la libreria si occupa di generare anteprime e di gestire i metadati dei file, a seconda delle applicazioni da cui il file è veicolato, non è necessario che l'utente lo apra, o addirittura che riceva una notifica di avvenuta ricezione. Se ad esempio per l'app Messenger per i Galaxy Nexus animati da Ice Cream Sandwich è indispensabile che la vittima visualizzi l'MMS, ha spiegato Drake a Forbes, procedendo con l'app di messaggistica Google Hangouts è possibile per l'attaccante prevenire la notifica e cancellare il file veicolo dell'attacco, prendendo il controllo del dispositivo senza che l'utente si accorga di alcunché.
A seconda del dispositivo colpito, l'attaccante potrebbe guadagnare diversi privilegi: Drake stima che nel 50 per cento dei casi l'attacco può garantire un livello di accesso root al sistema, e quindi il completo controllo del dispositivo, mentre negli altri casi il malintenzionato potrebbe accedere a microfono, fotocamera e memoria esterna.

Le vulnerabilità, ha spiegato Drake, coinvolgono i sistemi Android a partire dalla versione 2.2 (Froyo): tra il mese di aprile e il mese di maggio il ricercatore si è premurato di avvertire Google e di proporre delle patch che Mountain View ha implementato nel proprio codice nel giro di poche ore. Spetta però ai partner procedere alla distribuzione degli aggiornamenti, di cui ad oggi non è nota la tempistica. Anche Firefox e Firefox OS, che approfittano di una versione modificata della componente Stagefright, risultavano vulnerabili: Mozilla ha già provveduto a sistemare il problema. Lo stesso vale per il sistema operativo PrivatOS per Blackphone, sicuro a partire dalla versione 1.1.7.

Gaia Bottà

fonte immagine
Notizie collegate
  • SicurezzaMobile, vulnerabilità un tanto al chiloI ricercatori continuano a individuare vulnerabilità pericolose all'interno delle app mobile, un ambito dove l'insicurezza è apparentemente di default
  • SicurezzaSamsung, milioni di Galaxy a rischioUn bug di sicurezza minaccia una gran quantità di gadget della linea Galaxy, una patch è già stata rilasciata ma la decisione di distribuirla agli utenti finali spetta ai carrier. Google, intanto, promette denari ai bug hunter su Nexus
  • SicurezzaAndroid, il reset che non resettaUna ricerca dell'Università di Cambridge evidenzia un grave problema di sicurezza nella funzionalità di reset sulle versioni meno recenti di Android, un problema che mette a rischio sia i dati che l'identità digitale dell'utente
289 Commenti alla Notizia Crack Android, basta un numero di telefono
Ordina
  • "Drake stima che nel 50 per cento dei casi l'attacco può garantire un livello di accesso root al sistema, e quindi il completo controllo del dispositivo, mentre negli altri casi il malintenzionato potrebbe accedere a microfono, fotocamera e memoria esterna."
    Domanda: ma non è quello che fanno già le app presenti sull'android market, con il tacito consenso degli utenti che non verificano mai i permessi dati al software appena installato?
    Ricordo che tempo fa installai un gioco del minigolf per mio figlio, il quale mi richiedeva addirittura il controllo del microfono e della webcam!
    non+autenticato
  • che belli questi commenti su android (unix, linux, opensource), finche' si tratta di windows era colpa di MS e gli update erano una scocciatura, ora il problema e' perche' l'os e' diffuso e gli update non vengono rilasciati dai produttori (con windows e windows phone vengono aggiornati tutti i device)
    non+autenticato
  • Smuoverà i produttori ad almeno rilasciare la patch di sicurezza. I produttori che non lo faranno rischieranno di essere travolti dalle class action se tali buchi nella sicurezza verrano davero usati in modo esteso.
    Nel frattempo ho prontamente disabilitato la lettura automatica degli mms (che non uso mai), quanto a whatscialtronate e simili non li ho mai usati, ho orrore di tali sistemi, mi basta e avanza la possibilità di leggere ed inviare le mail con gli allegati!
  • - Scritto da: Enjoy with Us
    > Smuoverà i produttori ad almeno rilasciare la
    > patch di sicurezza. I produttori che non lo
    > faranno rischieranno di essere travolti dalle
    > class action se tali buchi nella sicurezza
    > verrano davero usati in modo esteso.

    Mah, speriamo, sarebbe un precedente non da poco.
    non+autenticato
  • - Scritto da: Enjoy with Us
    > Smuoverà i produttori ad almeno rilasciare la
    > patch di sicurezza.

    Che detto da te è come dire:
    "siamo fottuti".

    Ma alla grande proprio.
    maxsix
    8871
  • - Scritto da: maxsix
    > - Scritto da: Enjoy with Us
    > > Smuoverà i produttori ad almeno rilasciare la
    > > patch di sicurezza.
    >
    > Che detto da te è come dire:
    > "siamo fottuti".
    >
    > Ma alla grande proprio.


    ?

    Hanno condannato FCA per non aver fatto i richiami delle autovetture per un bug informatico.... non credo che siano tanto lontani i tempi in cui questo succederà anche ai produttori di smartphone... certo prima ci devono essere dei danni reali, non solo presunti!
  • - Scritto da: Enjoy with Us
    > Smuoverà i produttori ad almeno rilasciare la
    > patch di sicurezza. I produttori che non lo
    > faranno rischieranno di essere travolti dalle
    > class action se tali buchi nella sicurezza
    > verrano davero usati in modo
    > esteso.

    Campa cavallo... se non succede qualcosa di grosso la popolazione non se ne accorgerà neppure, come sempre fin'ora.

    > Nel frattempo ho prontamente disabilitato la
    > lettura automatica degli mms (che non uso mai),
    > quanto a whatscialtronate e simili non li ho mai
    > usati, ho orrore di tali sistemi, mi basta e
    > avanza la possibilità di leggere ed inviare le
    > mail con gli
    > allegati!

    Va bene, hai risolto il problema delle anteprime involontarie. Ora rimane solo il problema delle anteprime volontarie, o non riprodurrai mai più un video sul tuo telefono?
    Shiba
    3709
  • - Scritto da: Shiba
    > - Scritto da: Enjoy with Us
    > > Smuoverà i produttori ad almeno rilasciare la
    > > patch di sicurezza. I produttori che non lo
    > > faranno rischieranno di essere travolti dalle
    > > class action se tali buchi nella sicurezza
    > > verrano davero usati in modo
    > > esteso.
    >
    > Campa cavallo... se non succede qualcosa di
    > grosso la popolazione non se ne accorgerà
    > neppure, come sempre
    > fin'ora.
    >
    > > Nel frattempo ho prontamente disabilitato la
    > > lettura automatica degli mms (che non uso
    > mai),
    > > quanto a whatscialtronate e simili non li ho
    > mai
    > > usati, ho orrore di tali sistemi, mi basta e
    > > avanza la possibilità di leggere ed inviare
    > le
    > > mail con gli
    > > allegati!
    >
    > Va bene, hai risolto il problema delle anteprime
    > involontarie. Ora rimane solo il problema delle
    > anteprime volontarie, o non riprodurrai mai più
    > un video sul tuo
    > telefono Android ?

    Fixed
    maxsix
    8871
  • - Scritto da: maxsix
    > - Scritto da: Shiba
    > > Va bene, hai risolto il problema delle
    > anteprime
    > > involontarie. Ora rimane solo il problema
    > delle
    > > anteprime volontarie, o non riprodurrai mai
    > più
    > > un video sul tuo
    > > telefono Android ?
    >
    > Fixed

    Clicca per vedere le dimensioni originali
    Shiba
    3709
  • - Scritto da: Enjoy with Us
    > Smuoverà i produttori ad almeno rilasciare la
    > patch di sicurezza. I produttori che non lo
    > faranno rischieranno di essere travolti dalle
    > class action se tali buchi nella sicurezza
    > verrano davero usati in modo
    > esteso.

    palle!
    diranno: il device ha piu' di 18 mesi, il suppoto non e' piu garantito olre tale data.
    quinti te gli utenti se lo ptranno ficccre su per il culo insieme alla class action.

    > Nel frattempo ho prontamente disabilitato la
    > lettura automatica degli mms (che non uso mai),
    > quanto a whatscialtronate e simili non li ho mai
    > usati, ho orrore di tali sistemi, mi basta e
    > avanza la possibilità di leggere ed inviare le
    > mail con gli
    > allegati!

    android e' una porcata al pari di ios, starne alla larga e' l0inica soluzione.
    non+autenticato
  • Se dovessi acquistare un nuovo "smart"phone, l'unica cosa di cui mi preoccuperei è di avere la possibilità di renderlo "dumb": attivarlo senza la necessità di un account, disattivare WiFi, GPS, Bluetooth e rete mobile. Qualsiasi sia il produttore.

    Ma ricordate:

    controllo è "smart"
    schiavitù è libertà
    libertà è schiavitù
    e malware,adware,spyware sono "programmi per migliorare l'esperienza utente"

    Da oggi anche su PC!

    http://punto-informatico.it/4260996/PI/News/window...
    non+autenticato
  • quindi adesso mi aspetto che ogni produttore di telefoni android metterà a punto una serie di update per ogni versione di OS rilasciata per i suoi telefoni e che in automatico faccia patchare ai suoi utenti il telefono, giusto?
    Perché succederà questo vero? No?
    non+autenticato
  • Domani, dagli giusto il tempo di preparare la patch.

    ....rimbombano echi di tastiere. Non li senti ? Sorride
  • Ma l'hanno risolto il bug dell'SMS in arabo che ti riavviava il tuo "prezioso" melafonino ?A bocca aperta
    non+autenticato
  • - Scritto da: Etype
    > Ma l'hanno risolto il bug dell'SMS in arabo che
    > ti riavviava il tuo "prezioso" melafonino ?
    >A bocca aperta

    cioè, secondo te, un bug che riavvia il telefono (e che si può aggirare in 1000 modi) ha la stessa portata di uno che ti permetterebbe di prendere il pieno controllo del telefono accedendo a microfono e camera senza che tu te ne accorga? Sei serio?
    non+autenticato
  • - Scritto da: angelo
    > cioè, secondo te, un bug che riavvia il telefono
    > (e che si può aggirare in 1000 modi) ha la stessa
    > portata di uno che ti permetterebbe di prendere
    > il pieno controllo del telefono accedendo a
    > microfono e camera senza che tu te ne accorga?
    > Sei serio?

    Nel iCoso il tecnocontrollo-spia te lo dicono e te lo vendono come feature.
    non+autenticato
  • eh, leggere leggere, bisogna capire però

    "Snowden revealed a Central Intelligence Agency campaign to crack the security of iOS, OS X, BitLocker, and other platforms"

    il fatto che Snowden abbia detto "ok, Apple ha fatto bene a mettere la crittografia dell'intero file system" non vuol dire che stia sottintendendo che gli icosi non siano bucabili

    e infatti gli ex colleghi di Snowden dicono questo http://venturebeat.com/2013/09/09/nsa-calls-iphone.../
    non+autenticato
  • nulla è esente al 100% dal rischio di buchi, fatto stà che le strutture dei due sistemi sono differenti, e quello che permette di prendere il controllo da remoto è Android, senza considerare il problema degli aggiornamenti per chi non ha un Nexus, o ne ha uno troppo vecchio... fino a che versione all'indietro verrà corretto il bug? quando, i vari produttori, rilasceranno le dovute patch? non penserai mica che tutti abbiano telefono rootati (su alcuni Sony pare che sia impossibile o quasi, per esmepio) con ROM cucinate, vero...?
    ...e non te uscire con la storia che chi compra un cellulare deve essere esperto di informatica eh...
    non+autenticato
  • Guarda che anche Apple fa la stessa cosa..... Semplicemente si nota un po' di meno. D'altro canto i dati parlano chiaro: c'è ancora un 13,7% di utenti con iOS7.
    non+autenticato
  • - Scritto da: Luca
    > Guarda che anche Apple fa la stessa cosa.....

    non mi risulta che esistano bug simili, ma puoi linkare

    > Semplicemente si nota un po' di meno. D'altro
    > canto i dati parlano chiaro: c'è ancora un 13,7%
    > di utenti con iOS7.

    ...quindi?
    non+autenticato
  • - Scritto da: Mario
    > quindi adesso mi aspetto che ogni produttore di
    > telefoni android metterà a punto una serie di
    > update per ogni versione di OS rilasciata per i
    > suoi telefoni e che in automatico faccia patchare
    > ai suoi utenti il telefono,
    > giusto?
    > Perché succederà questo vero? No?

    Piuttosto, cercate di imparare la lezione anche voi macachi.
    Siamo di fronte all'esempio più emblematico di obsolescenza programmata: di punto in bianco mezzo miliardo di dispositivi sono praticamente da buttare (e ricomprare).
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 19 discussioni)