Quando scriviamo di exploit più o meno complessi e pericolosi, c'è sempre quello che pensa "sì, ma tanto io sto attento e quindi queste cose possono capitare solo agli sprovveduti". Puntualmente, cerchiamo di far notare che non è sempre così e anche chi è un esperto può cader vittima di un virus.
L'exploit scovato da Joshua Drake, un ricercatore di sicurezza della società Zimperium, è l'esempio lampante del vettore perfetto per infettare dispositivi Android senza neanche destare sospetti nei loro proprietari.
In pratica, tutto sta nella gestione dei video che vengono inviati tramite Whatsapp o Hangouts. Quando arriva un messaggio che contiene un filmato, infatti, il programma inizia subito a processarlo, generando un'anteprima di solito facendo uso della libreria di sistema Stagefright, in modo da renderlo immediatamente disponibile nel momento in cui cliccherete.
Purtroppo, un bug molto grave in questa libreria permette a un hacker o ad un cyber criminale di eseguire dell'eventuale codice nascosto nel file inviato, senza avvisare in alcun modo l'utente che sta subendo l'attacco.
Se non avessero altro a cui pensare, quelli di Hacking Team si starebbero già fregando le mani e qualche loro concorrente già si starà dando da fare per trarne vantaggio...
Per fortuna, per il momento sembra che l'unico a conoscenza del metodo esatto per sfruttare questo bug sia Joshua Drake, che ha già provveduto a comunicare il problema a Google. Anzi, ha fatto di più: ha direttamente creato la patch e l'ha inviata ai tecnici di Mountain View che hanno ringraziato e in meno di 48 ore avevano già pronto tutto il necessario per rendere di nuovo sicuri i dispositivi.
Purtroppo, qui arriva il vero problema di Android: gli aggiornamenti. Come ben sappiamo, ogni volta che Google passa un aggiornamento ai produttori, passano mesi prima che questi preparino la patch per i dispositivi... quando decidono di farlo.
Nella maggior parte dei casi, addirittura, non succede niente e la vulnerabilità resta aperta.
"Se non c'è una convenienza economica nel creare le patch" - dice il ricercatore della Northeastern University Collin Mulliner - "il produttore non lo farà. Dato che l'obsolescenza dei dispositivi è molto veloce, spesso per un produttore non ha senso, da un punto di vista economico, divulgare un aggiornamento."
Potremmo obiettare che invece una rilevanza economica dovrebbe averla, dato che noi utenti potremmo ricordarci di chi fa gli aggiornamenti e chi no, ma la verità è che la maggior parte dei possessori di smartphone non saprà neanche mai di avere delle vulnerabilità.
Di conseguenza, se vogliamo star tranquilli per il momento l'unica è smettere di usare Hangouts e Whatsapp. Abbiamo anche chiesto ai produttori di antivirus per Android se i loro prodotti proteggano gli utenti da questo problema e stiamo aspettando una risposta.
Ricordiamo che il bug sembra affliggere tutte le versioni di Android, anche le più recenti e sebbene le patch siano già disponibili, distribuirle è un delirio.
A quando un dipartimento del Garante delle Telecomunicazioni che si occuperà di obbligare i produttori a fornire dispositivi sicuri ai cittadini?
Aggiornamento: Una volta tornato online il blog dell'azienda che ha pubblicato il bug, abbiamo potuto appurare che il problema è nella libreria di sistema Stagefright, che si occupa di gestire i file multimediali e viene usata per generare le anteprime dei video da moltissime applicazioni. La lista delle applicazioni affette dal problema non è ancora disponibile, ma basta pensare che un MMS appositamente confezionato può infettare un qualsiasi telefono di cui si conosce il numero. Al momento, Firefox ha già patchato i suoi telefoni, così come Silent Circle (i Blackphones), per gli altri non è ancora dato sapere.
Aggiornamento 2: un portavoce Google ha rilasciato la seguente dichiarazione a riguardo:
Questa vulnerabilità è stata identificata in ambiente di laboratorio sui vecchi dispositivi Android e, per quanto ne sappiamo, nessuno è stato colpito dal virus. Non appena ne siamo venuti a conoscenza, ci siamo subito attivati per inviare ai nostri partner un bug fix per proteggere gli utenti