Android: l’ecosistema preso di mira dal bug tramite MMS e WhatsApp

Sono 950 milioni (il 95%) i telefoni Android a rischio. L’allarme, scattato ad aprile, rileva un grosso bug che sfrutta l’anteprima dei contenuti multimediali rendendo attaccabili tutte le versioni di Android dalla 2.2 all’ultima Lollipop 5.1.1, nessuna esclusa.

Solo la versione 6 di Google risulta al riparo, almeno parzialmente. Tutto ciò che serve all’hacker è il numero di telefono preso di mira per sottrarre dati e con un semplice MMS può infettare lo smartphone. Sul telefono Android, dopo l’attacco cyber, non resterà altro che la notifica di un messaggio fantasma e l’utente attaccato neanche si accorgerà del furto d’informazioni. Non potrà difendersi perché con questo bug chi colpisce copre facilmente le proprie tracce.

E’ stata la società di ricerca Zimperium zLabs a scoprire il bug, il più grave mai rilevato nella storia di Android. Questa falla, in sostanza, non sfrutta App o bug nel Google Play Store. Viene preso di mira il cuore stesso di Android, in particolare la libreria Stragefright che consente il download di anteprime video e foto. Un vero guaio perché scaricare l’immagine preview dei contenuti multimediali si verifica senza il controllo da parte dell’utente.

Se Stragefright diventa vulnerabile, con l’anteprima si può incanalare un codice malevolo tramite un’operazione di cui l’utente Android non si accorge mentre chi attacca ha tutto il tempo di sottrarre dati importanti. La cosa peggiore è che la vulnerabilità, oltre che con MMS, può essere sfruttata anche con Hangouts e WhatsApp tramite reti Wi-Fi non protette o bluetooth. Basta spedire un video o foto infette per attaccare la vittima.

Cosa risponde Google al riguardo? Risponde che tale vulnerabilità è stata identificata in “ambiente di laboratorio sui vecchi dispositivi Android” e per quanto ne sa, non risulta nessuno colpito dal virus, per ora. Appena è stato lanciato l’allarme, Big G ha inviato ai suoi partner un bug fix per proteggere l’intera utenza Android.

Colossi come HTC, LG, Lenovo, Samsung, Motorola e Sony non hanno saputo identificare una data sicura sulla risoluzione del bug. Soltanto HTC, dall’inizio di luglio, sta rilasciando update per correggere la falla e soltanto CyanogenMod ha saputo agire in modo tempestivo ed ha subito diffuso la versione corretta. Al momento, Firefox ha già patchato i suoi telefoni come Silent Circle per i suoi Blackphones.

Il vero problema di Android è sugli aggiornamenti. Quando Google passa un update ai produttori, questi impiegano mesi prima di preparare la patch per i dispositivi, semmai decidano di farlo. Spesso non lo fanno, le patch vengono create quando di solito c’è un tornaconto economico. E così la vulnerabilità resta aperta, specie con una falla del genere di cui l’utente non potrà mai accorgersi. Per chi volesse davvero stare tranquillo, almeno finché la falla non sarà risolta ufficialmente, l’unica è interrompere l’uso di Hangouts e WhatsApp sul suo dispositivo Android.