Dopo aver provocato non pochi allarmi inerenti l’insicurezza dei gadget Android, le vulnerabilità nel componente Stagefright (CVE-2015-1538) sono ora di pubblico dominio dopo la pubblicazione del codice necessario a sfruttare le falle per compromettere i terminali non aggiornati.
Gli analisti di Zimperium, che per primi hanno svelato l’ esistenza dei bachi in Stagefright e la facilità con cui è possibile sfruttarli, hanno pubblicato il codice presentandolo come uno strumento utile a verificare l’efficacia delle patch distribuite in questi mesi.
Lo script in Python rilasciato dai ricercatori è in grado di generare un file video in formato MP4 capace di aprire una shell di comando con il semplice invio su un terminale non aggiornato: una volta aperta la shell è possibile ascoltare da remoto le comunicazioni audio o catturare fotografiche con la fotocamera integrata.
L’exploit non funziona su Android versione 5.0 e successive grazie alle nuove misure di protezione integrate nell’OS mobile, anche se il numero di terminali – e quindi degli utenti – vulnerabili si conta ancora nell’ordine delle centinaia di milioni.
A complicare il quadro, il turbolento avvicendarsi degli update rilasciati da Google, che ha però approntato un meccanismo di update mensili appena avviato , e dei partner OEM, che a partire dallo scorso luglio hanno provato a chiudere i bachi in Stagefright distribuendo patch inutili o comunque bypassabili da un potenziale malintenzionato.
Alfonso Maruccia
Ti potrebbe interessare
11 set 2015