Google ancora sulla graticola per le falle in Stagefright, problema di sicurezza scoperto nell’omonimo componente di Android pensato per la gestione dei file multimediali che avrebbe dovuto risolversi dopo la distribuzione delle apposite patch da parte di Mountain View e non solo. Quelle patch, dicono ora i ricercatori, non risolvono completamente il problema.
Stando ai ricercatori di Exodus Intelligence , la patch – quattro semplici linee di codice – è pensata per chiudere la falla responsabile del bug di buffer overflow precedentemente identificato in Stagefright: in certe condizioni, però, un cyber-criminale potrebbe utilizzare variabili a 64-bit al posto di quelle standard a 32-bit per sfruttare comunque la falla.
I ricercatori si lamentano della situazione di (in)sicurezza evidenziata dalla scarsa efficacia della patch contro Stagefright: Google è dotato di un nutrito staff che si dedica a tempo pieno a questo genere di problemi.
Mountain View ha riconosciuto il problema della patch che “non patcha” classificandolo come CVE-2015-3864, e ha prontamente distribuito un nuovo aggiornamento (per i gadget della linea Nexus) nel tentativo di risolvere definitivamente la questione.
Ma i difetti di sicurezza di Android sono numerosi, soprattutto in questo periodo, e dopo Stagefright ecco arrivare l’ ennesima vulnerabilità sfruttabile per bypassare la protezione della sandbox dell’OS mobile. L’applicazione di sistema Android Admin è fallata, dicono i ricercatori, e con l’uso di un link simbolico appositamente formattato è possibile installare una app malevola sui dispositivi vulnerabili.
Su Android spuntano bachi di sicurezza da ogni dove, ma Google dimostra di non voler restare con le mani in mano e subire passivamente la situazione: assieme alla nuova policy degli aggiornamenti mensili annunciata di recente, la corporation dell’advertising ha avviato la distribuzione di bollettini di sicurezza particolareggiati in stile Microsoft Patch Tuesday.
Alfonso Maruccia