Google ha risolto un altro bug di sicurezza che ha interessato le versioni di Android dalla numero 2.3 alla più recente 5.1.1, quindi praticamente ogni dispositivo è vulnerabile, che la ditta di sicurezza Trend Micro dice potrebbe essere utilizzato per abusare della privacy dei proprietari di dispositivi.
Il bug potrebbe consentire agli aggressori di abusare del programma MediaServer di Android per spiare la privacy degli utenti. La patch potrebbe essere distribuita il prossimo mese prima sui dispositivi Nexus attraverso l’aggiornamento di sicurezza mensile promesso da Google.
La vulnerabilità dovrebbe essere compresa nell’exploit chiamato Stagefright e scoperto da Joshua Drake della società di sicurezza Zimperium, che sfrutta una serie di bug presenti nel software Android, e in particolare i procssi che il sistema utilizza, per "processare, riprodurre e registrare file multimediali".
Stagefright ha portato i produttori di dispositivi Android ad iniziare una collaborazione con gli operatori per garantire che gli utenti finali ricevano gli aggiornamenti di sicurezza più recenti e in modo regolare con un ciclo mensile di patch (qui il comunicato di Google, e qui il comunicato di Samsung).
A differenza del più grave Stagefright, che potrebbe essere sfruttato semplicemente inviando un file multimediale dannoso ai dispositivi Android da violare, come anche un semplice MMS, nel caso del nuovo bug un utente malintenzionato deve indurre le vittime ad installare un’applicazione dannosa.
Android, nuova falla minaccia 1 miliardo di dispositivi
"Un utente malintenzionato potrebbe essere in grado di eseguire il codice con gli stessi permessi che il programma MediaServer ha già", ha detto Wish Wu, ricercatore per Trend Micro. "Dal momento che al MediaServer sono collegate un sacco di attività relative ai media, tra cui scattare foto, la lettura di file MP4, e la registrazione video, la privacy della vittima può essere a rischio", ha aggiunto.
Trend Micro ha rivelato un’altro problema che colpisce il MediaServer, di minore gravità ma pur sempre importante, che permetterebbe di bloccare un dispositivo in un riavvio infinito.
In seguito la scoperta dell’exploit Stagefright, Google ha fatto sapere che in futuro farà pervenire ai propri prodotti della linea Nexus aggiornamenti mensili di sicurezza per tre anni. L’ultimo aggiornamento per la sicurezza dei dispositivi Nexus è stato rilasciato lo scorso 5 agosto, ma una serie di altri bug saranno patchati con il rilascio di un altro aggiornamento nel mese di settembre – in questo aggiornamento dovrebbe essere risolto anche il bug presentato in questo articolo.