Claudio Tamburrino

Estate bucata per Android

Continuano i problemi di sicurezza del SO mobile di Google. E le minacce arrivano ancora dai file multimediali

Roma - Continuano i problemi di sicurezza per Android: ad offrire unva vulnerabilità sfruttabile da parte dei malintenzionati è, ancora, una delle componenti responsabili della gestione dei file multimediali, stavolta Android Mediaserver.

Si tratta solo dell'ultima emergenza di questa calda estate, che segue di pochi giorni le critiche per l'inefficacia della patch distribuita per tappare la falla Stagefright, l'exploit individuato lo scorso luglio e che ha mostrato come sia possibile, con il semplice invio di un MMS o di un contenuto multimediale veicolato da qualsiasi servizio di messaggistica o da un link, attaccare sistemi Android sfruttando sei diverse falle presenti nella componente responsabile della gestione di diversi formati di file multimediali.

A seguito della sua scoperta le aziende che montano sui propri dispositivi Android sono corse ai ripari rilasciando tempestivamente aggiornamenti e toppe per risolvere il problema, ma le stesse modalità di distribuzione di patch ed update sono state messe in discussione, in particolare per gli ostacoli derivanti dall'eccessiva frammentazione dell'ecosistema Android.
D'altra parte si scopre adesso che Stagefright non è l'unica emergenza che il SO mobile di Google ha dovuto affrontare: da ultimo è stata individuata dai ricercatori di Trend Micro una falla in Android Mediaserver ed in particolare nella componente AudioEffect.

Il Bug CVE-2015-3842 sarebbe presente dalla versione 2.3 alla 5.1.1 di Android, quindi minaccerebbe i suoi utenti fin dal 2012 e sarebbero ancora centinaia di migliaia i device potenzialmente a rischio, anche se nessun attacco è stato per il momento documentato.

Tale vulnerabilità - già segnalata dai ricercatori Trend Micro all'Android Security Team che ha pubblicato una patch lo scorso primo agosto attraverso Android Open Source Project - può essere sfruttata convincendo gli utenti ad installare una app che non richiede particolari permessi, ma attraverso cui i cracker possono far girare il proprio codice sui dispositivi infettati.

Claudio Tamburrino
Notizie collegate
  • SicurezzaAndroid, falle senza fineLa calda estate della sicurezza mobile continua con nuove vulnerabilitÓ di sicurezza, patch per Stagefright non risolutive e bollettini di sicurezza in stile Microsoft
  • SicurezzaStagefright, LG e Motorola si aggiornanoLe 6 pericolose falle della componente Android spingono anche Motorola ed LG a prendere provvedimenti per aggiornare regolarmente il sistema operativo che anima i loro terminali
  • SicurezzaCrack Android, basta un numero di telefonoSei vulnerabilitÓ affliggono tutte le versioni di Android a partire dalla 2.2, vale a dire 950 milioni di dispositivi: consentono ad un malintenzionato di prendere il controllo del terminale o di alcune sue funzioni
44 Commenti alla Notizia Estate bucata per Android
Ordina
  • scusate, ma qualcuno di questi attacchi è stato fatto contro utenti o sono storielle?
    non+autenticato
  • Storielle (per ora), ma per via dell'ASLR.

    Poi vedremo... occorrerebbe vedere bug per bug.
    non+autenticato
  • Ma Android non era sicuro? Newbie, inesperto

    Ma non s'era detto che la natura open del software faceva sì che le falle venissero sistemate dalla community? In lacrime

    Ma non c'era chi sosteneva che ogni volta che installava un software cercava falle prima di installarlo? Rotola dal ridere

    Accidenti, eppure queste cose non me le sono sognate io, le ho viste coi miei occhi! Angioletto

    E come mai allora tutte questi buchi? Disinnamorato

    E come mai 'ste zozzerie? Arrabbiato
    non+autenticato
  • E' più sicuro di IOS, ci basta questo.
    non+autenticato
  • Dati alla mano android vince su ios questo non si discute: market share più ampio, possibilità di scelta hardware/software(cyano), prezzi per tutte le tasche, 8 volte meno bugs di ios.
    non+autenticato
  • IOS è bucatissimo non fatevi prendere in giro dalla stampa:

    http://news.softpedia.com/news/80-vulnerabilities-...

    E devono tener conto di una quantità infima di device se comparati all' ecosistema android. Sconfitta roboante 1 a 8 c' è poco da discutere.

    IOS è strabucatissimo:

    http://www.intego.com/mac-security-blog/71-vulnera.../

    71 patch in un colpo solo, alias spaghetti code a gogo... e costano cari i giocattoli!
    non+autenticato
  • Bilancio annuale: 8 vulnerabilità IOS per 1 vulnerabilità Android!

    Eh sì, è proprio un periodo nero... per la stampa farlocca.
    non+autenticato
  • La cosa divertente è che il fanboy generico medio apple si appella alla frammentazione di android e non si rendono conto che l' iphon da solo, figlio unico di casa Cupertino, ha più voragini di tutto l' ecosistema targato google fatto di millemila modelli diversi.

    IOS Ultra FAIL!
    non+autenticato
  • - Scritto da: kobol
    > La cosa divertente è che il fanboy generico medio
    > apple si appella alla frammentazione di android e
    > non si rendono conto che l' iphon da solo, figlio
    > unico di casa Cupertino, ha più voragini di tutto
    > l' ecosistema targato google fatto di millemila
    > modelli
    > diversi.
    >
    > IOS Ultra FAIL!

    L' ultimo fa proprio schifo

    http://www.computerworld.com/article/2686096/ios-8...
    non+autenticato
  • E non solo ios, tutta la linea di prodotti è cara e poco performante, segno di scarsa qualità del software::

    http://fieldguide.gizmodo.com/the-worst-bugs-in-os...

    Alcuni di questi problemi apple se li porta dietro da un pezzo.
    non+autenticato
  • - Scritto da: 2pesi2misur e
    > IOS è bucatissimo non fatevi prendere in giro
    > dalla
    > stampa:
    >
    > http://news.softpedia.com/news/80-vulnerabilities-
    >
    > E devono tener conto di una quantità infima di
    > device se comparati all' ecosistema android.
    > Sconfitta roboante 1 a 8 c' è poco da
    > discutere.
    >
    > IOS è strabucatissimo:
    >
    > http://www.intego.com/mac-security-blog/71-vulnera
    >
    > 71 patch in un colpo solo, alias spaghetti code a
    > gogo... e costano cari i
    > giocattoli!

    Eh a leggere sempre solo i titoli:

    "The fact that fewer vulnerabilities are discovered in Android should under no circumstances be misinterpreted to imply that Android OS is more secure than iOS," said Kasper Lindgaard, Director of Research and Security at Secunia.

    He explains this trend by the fact that Apple is in full control over its operating system and devices' hardware makeup, allowing it to discover and patch security problems much faster than Google. The latter works with multiple companies at the same time, which are not always doing their due diligence regarding user security.

    Ma quella più bella viene dopo, ocio:

    This last trend will fortunately change from now on, today Samsung and Google announcing in separate cases that they plan to take the security patching into their own hands.



    Ehhhhh sisi, stiamo vedendo quanto Samsung e Google stanno PRENDENDO IN MANO la situazione.

    Alla faccia.
    maxsix
    9964
  • 1 a 8 piglia e porta a casa.
    non+autenticato
  • - Scritto da: verner
    > 1 a 8 piglia e porta a casa.

    Cosa devo portare a casa quando in questo articolo venite sbugiardati con 4 vulnerabilità gravissime nel giro di 3 giorni?

    Ma dico eh, un po' di ritegno e amor proprio vi fa così schifo averlo si?
    maxsix
    9964
  • Vallo a dire a Jennifer Lawrence. Fanboy!
    non+autenticato
  • - Scritto da: maxsix
    > - Scritto da: 2pesi2misur e
    > > IOS è bucatissimo non fatevi prendere in giro
    > > dalla
    > > stampa:
    > >
    > >
    > http://news.softpedia.com/news/80-vulnerabilities-
    > >
    > > E devono tener conto di una quantità infima
    > di
    > > device se comparati all' ecosistema android.
    > > Sconfitta roboante 1 a 8 c' è poco da
    > > discutere.
    > >
    > > IOS è strabucatissimo:
    > >
    > >
    > http://www.intego.com/mac-security-blog/71-vulnera
    > >
    > > 71 patch in un colpo solo, alias spaghetti
    > code
    > a
    > > gogo... e costano cari i
    > > giocattoli!
    >
    > Eh a leggere sempre solo i titoli:
    senti chi parla

    > "The fact that fewer vulnerabilities are
    > discovered in Android should under no
    > circumstances be misinterpreted to imply that
    > Android OS is more secure than iOS," said Kasper
    > Lindgaard, Director of Research and Security at
    > Secunia.
    >
    > He explains this trend by the fact that Apple is
    > in full control over its operating system and
    > devices' hardware makeup, allowing it to discover
    > and patch security problems much faster than
    > Google. The latter works with multiple companies
    bahah.. dai neanche tu puoi credere a questa panzanella.... a) il fatto che ios sia closed NON permette di scoprire security problems piu' velocemente b) MOLTE vuln non sono scoperte da Apple, ma solo patchate... dopo che i vari evad3rs, TaiG Jailbreak Team ecc gliele hanno comunicate.

    Poi ci sarebbe anche quell'altra panzanella che ricevere rapidamente nuovi aggiornamenti rende il sistema piu' sicuro... se cosi' fosse Windows (che ha winupdate a getto continuo da 20 anni) sarebbe piu' sicuro di QubesOS e qnx messi insieme... [in realta si patchano problemi gia noti, si intruduce piu' bloatware e nuovi bug]
    non+autenticato
  • - Scritto da: bubba

    > sarebbe piu' sicuro di QubesOS

    visto che è uscita la RC con l'immagine live usb?Con la lingua fuori

    l'unico inghippo che ho trovato è che quei fetenti di Nvidia non consentono il passthrough sulle geforce ( ma basta dissaldare un paio di resistori smd per trasformarle in quadro ), per cui non riesce a farmi partire nemmeno il Dom0
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)