Alfonso Maruccia

Stagefright, Android e la nuova corsa alla patch

La vulnerabilitÓ ha disseminato terrore nell'ecosistema androide e i player pi¨ importanti - a cominciare da Google stessa - rilasciano bugfix a tavoletta. Mountain View promette patch mensili d'ora in poi, e non Ŕ la sola

Roma - Un brivido ha percorso le aziende impegnate nella commercializzazione di gadget Android dopo l'annuncio dell'attacco contro Stagefright, una minaccia che mette a rischio quasi 1 miliardo di dispositivi: è apparentemente quanto basta per spingere i player di settore a rivedere drasticamente il modo in cui gestiscono le patch e gli aggiornamenti.

Le vulnerabilità identificate dai ricercatori possono essere sfruttate per compromettere un terminale mobile con il semplice invio di un MMS o di un contenuto multimediale veicolato da qualsiasi servizio di messaggistica o da un link, e per correre ai ripari Google ha prima di tutto distribuito una versione aggiornata della app di messaggistica ufficiale (Messenger) e altre contromisure per gli smartphone e i gadget della linea Nexus.

Adrian Ludwig, ingegnere di Google per la sicurezza Android, ha in queste ore - durante la conferenza Black Hat di Las Vegas - definito "esagerato" l'allarme lanciato dai ricercatori in merito alla gravità dei problemi in Stagefright: misure di sicurezza aggiuntive come la tecnologia Address Space Layout Randomization (ASLR) sono in grado di mitigare grandemente i rischi di compromissione, ha riferito Ludwig.
Cionondimeno, l'attenzione nata intorno a Stagefright ha spinto Google a modificare in maniera radicale la gestione degli aggiornamenti per la piattaforma Android, che d'ora in poi verranno dispensati con cadenza mensile per i Nexus e i dispositivi venduti direttamente dalla corporation sull'apposito store online.

L'allarme per i buchi in Stagefright, sfruttabili in maniera tanto semplice, è stato poi recepito anche da altri grossi nomi che fanno business con Android: Samsung ha annunciato un nuovo piano di distribuzione degli update anch'esso mensile, l'operatore mobile americano Sprint ha prontamente avviato il rilascio delle patch correttive e Deutsche Telekom si è spinta fino alla disabilitazione degli MMS per evitare ogni rischio alla fonte.

A contribuire, forse, alla sicurezza su Android ci pensano infine gli utenti, sempre più attivi nell'aggiornare la versione dell'OS mobile a Lollipop con un +5,7 per cento di installazioni registrate da Google tra giugno (12,4 per cento di market share) e luglio (18,1 per cento). Anche Lollipop, in ogni caso, risulta vulnerabile ai bug in Stagefright senza una patch.

Alfonso Maruccia
Notizie collegate
  • SicurezzaCrack Android, basta un numero di telefonoSei vulnerabilitÓ affliggono tutte le versioni di Android a partire dalla 2.2, vale a dire 950 milioni di dispositivi: consentono ad un malintenzionato di prendere il controllo del terminale o di alcune sue funzioni
27 Commenti alla Notizia Stagefright, Android e la nuova corsa alla patch
Ordina
  • ...anzi no, basta disabilitare il "download automatico media" da whatsapp (o altre di messaggistica) e dall app predefinita per gli sms (es. Textra SMS lo fa già).
    non+autenticato
  • - Scritto da: rico
    > ...anzi no, basta disabilitare il "download
    > automatico media" da whatsapp (o altre di
    > messaggistica) e dall app predefinita per gli sms
    > (es. Textra SMS lo fa > già).

    A proposito di Textra... PORCACCIA LA MISERIA, PI:
    ma se mentre sto scrivendo un commento "lunghetto" mi ricaricate per un qualche motivo (la pubblicità?...) la pagina e mi fate sparire tutto il papier... mannaggia mannaggia, tempo buttato alle ortiche, e sono pure al lavoro...
    non+autenticato
  • - Scritto da: rico
    > ...anzi no, basta disabilitare il "download
    > automatico media" da whatsapp (o altre di
    > messaggistica) e dall app predefinita per gli sms
    > (es. Textra SMS lo fa
    > già).

    non basta affatto come ampiamente discusso sui forum minimamente tecnici (evidentemente questo non lo è a dispetto del nome).
    non+autenticato
  • E' da un po' che ci penso. Certo, la quantità di minacce è imparagonabile a quelle per PC, ma pensare di accedere con password e user via cell e non sapere che magari hai il cellulare infetto, non mi lascia tranquillo.
    Temo che ormai una internet security per il cellulare sia "ragionevole" metterla, che dite? Consigli?
    non+autenticato
  • - Scritto da: Osvy
    > E' da un po' che ci penso. Certo, la quantità di
    > minacce è imparagonabile a quelle per PC, ma
    > pensare di accedere con password e user via cell
    > e non sapere che magari hai il cellulare infetto,
    > non mi lascia
    > tranquillo.
    > Temo che ormai una internet security per il
    > cellulare sia "ragionevole" metterla, che dite?
    > Consigli?

    Gli antivirus per Android fanno tutti cagare, non ti proteggerebbero da un cazzo.
    non+autenticato
  • C'è l'update per l'huawei y625 ?
    ha android 4.4.2
    -----------------------------------------------------------
    Modificato dall' autore il 06 agosto 2015 21.31
    -----------------------------------------------------------
    user_
    1073
  • - Scritto da: Qapla Giaguaro
    > https://forums.oneplus.net/threads/virus-come-dife

    falso, la procedura indicata elimina solo uno dei possibili veicoli.
    Tutti gli altri rimangono.
    non+autenticato
  • Puoi indicare gli altri vettori? Giusto per farmi quattro risatine grosse.
    non+autenticato
  • - Scritto da: Antonio
    > Puoi indicare gli altri vettori? Giusto per farmi
    > quattro risatine grosse.

    Boh, quando entra in gioco questa libreria? Solamente quando si parla di MMS, Whatsapp e simili o quando hai a che fare con un video in generale? Nel secondo caso l'unico rimedio sarebbe non riprodurre mai più un video finché non viene patchata la vulnerabilità.
    Shiba
    4103
  • - Scritto da: Shiba
    > - Scritto da: Antonio
    > > Puoi indicare gli altri vettori? Giusto per
    > farmi
    > > quattro risatine grosse.
    >
    > Boh, quando entra in gioco questa libreria?
    > Solamente quando si parla di MMS, Whatsapp e
    > simili o quando hai a che fare con un video in
    > generale? Nel secondo caso l'unico rimedio
    > sarebbe non riprodurre mai più un video finché
    > non viene patchata la
    > vulnerabilità.
    oppure usarne un'altra, non di sistema...Con la lingua fuori il problema, del resto, e' che vengono passati filmati 3gpp e mpeg4 malformati appositamente per exploitare QUEL parser. ma non esiste solo illo.
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: Shiba
    > > - Scritto da: Antonio
    > > > Puoi indicare gli altri vettori? Giusto per
    > > farmi
    > > > quattro risatine grosse.
    > >
    > > Boh, quando entra in gioco questa libreria?
    > > Solamente quando si parla di MMS, Whatsapp e
    > > simili o quando hai a che fare con un video in
    > > generale? Nel secondo caso l'unico rimedio
    > > sarebbe non riprodurre mai più un video finché
    > > non viene patchata la
    > > vulnerabilità.
    > oppure usarne un'altra, non di sistema...Con la lingua fuori il
    > problema, del resto, e' che vengono passati
    > filmati 3gpp e mpeg4 malformati appositamente per
    > exploitare QUEL parser. ma non esiste solo
    > illo.

    Perche illo ha fatto appelloso. E basta.A bocca aperta

    Come si fa ad usarne un'altra (senza necessariamente mettersi a scrivere di proprio pugno un'app che si appoggi ad altro)?
  • - Scritto da: bubba
    > - Scritto da: Shiba
    > > - Scritto da: Antonio
    > > > Puoi indicare gli altri vettori? Giusto per
    > > farmi
    > > > quattro risatine grosse.
    > >
    > > Boh, quando entra in gioco questa libreria?
    > > Solamente quando si parla di MMS, Whatsapp e
    > > simili o quando hai a che fare con un video in
    > > generale? Nel secondo caso l'unico rimedio
    > > sarebbe non riprodurre mai più un video finché
    > > non viene patchata la
    > > vulnerabilità.
    > oppure usarne un'altra, non di sistema...Con la lingua fuori il
    > problema, del resto, e' che vengono passati
    > filmati 3gpp e mpeg4 malformati appositamente per
    > exploitare QUEL parser. ma non esiste solo
    > illo.

    Non credo sia scontato che basti usarne una non di sistema, altrimenti il problema non coinvolgerebbe anche Whatsapp.
    Shiba
    4103
  • - Scritto da: Shiba

    > Non credo sia scontato che basti usarne una non
    > di sistema, altrimenti il problema non
    > coinvolgerebbe anche
    > Whatsapp.


    E infatti nessuna app (a parte la poche che fanno quello di mestiere come VLC) reinventa la ruota del carro...
    non+autenticato
  • Beh sai gli sparaFUD mica giustificano quello che dicono.
    non+autenticato
  • - Scritto da: Cappuccetto rosso
    > Beh sai gli sparaFUD mica giustificano quello che
    > dicono.

    vedi sotto.
    Gli spara FUD qui sono quelli che minimizzano dando soluzione del tutto parziali.
    non+autenticato
  • - Scritto da: Antonio
    > Puoi indicare gli altri vettori? Giusto per farmi
    > quattro risatine
    > grosse.

    Il bug è chiarissimo, basta leggere di cosa si tratta.
    La conmseguenza è che qualsiasi app che analizza un video per fare, per esmepio ma non solo, un'anteprima è esposto.
    Si salvano solo quelle app che hanno i codec interni (immagino VLC e una manciata d'altri)
    non+autenticato
  • ╚ una buona dichiarazioni di intenti. Ora vedremo se e in quanto tempo la metteranno in atto, ma comunque non basta. Dobbiamo anche sapere quali modelli saranno supportati, cioè la durata di vita del supporto per ogni modello. Perchè dubito che i centinaia di modelli messi in vendita avranno supporto a vita!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)