Stagefright di Android sfrutta ciò che devi sapere e come proteggerti
Android ha un enorme bug di sicurezza in un componente noto come "Stagefright". La semplice ricezione di un messaggio MMS dannoso potrebbe compromettere il tuo telefono. È sorprendente che non abbiamo visto un worm diffondersi da un telefono all'altro come facevano i worm nei primi giorni di Windows XP - tutti gli ingredienti sono qui.
In realtà è un po 'peggio di quanto sembri. I media si sono concentrati principalmente sul metodo di attacco MMS, ma anche i video MP4 incorporati nelle pagine Web o nelle app potrebbero compromettere il telefono o il tablet.
Perché il difetto di Stagefright è pericoloso - Non è solo MMS
Alcuni commentatori hanno definito questo attacco "Stagefright", ma in realtà è un attacco a un componente di Android chiamato Stagefright. Questo è un componente lettore multimediale in Android. Ha una vulnerabilità che può essere sfruttata - in modo più pericoloso tramite un MMS, che è un messaggio di testo con componenti multimediali incorporati.
Molti produttori di telefoni Android hanno scelto saggiamente di concedere le autorizzazioni di sistema Stagefright, che è un gradino sotto l'accesso root. Sfruttare Stagefright consente a un utente malintenzionato di eseguire il codice arbtirary con le autorizzazioni "media" o "sistema", a seconda del modo in cui è configurato il dispositivo. Le autorizzazioni di sistema conferiscono all'utente malintenzionato un accesso praticamente completo al proprio dispositivo. Zimperium, l'organizzazione che ha scoperto e segnalato il problema, offre maggiori dettagli.
Le tipiche applicazioni di messaggistica di testo Android recuperano automaticamente i messaggi MMS in entrata. Ciò significa che potresti essere compromesso solo da qualcuno che ti invia un messaggio tramite la rete telefonica. Con il tuo telefono compromesso, un worm che utilizza questa vulnerabilità potrebbe leggere i tuoi contatti e inviare messaggi MMS dannosi ai tuoi contatti, diffondendosi a macchia d'olio come il virus Melissa nel 1999 usando Outlook e i contatti e-mail.
Le relazioni iniziali si concentravano su MMS perché quello era il vettore potenzialmente più pericoloso che Stagefright poteva sfruttare. Ma non sono solo gli MMS. Come evidenziato da Trend Micro, questa vulnerabilità si trova nel componente "mediaserver" e un file MP4 dannoso incorporato in una pagina Web potrebbe sfruttarlo, sì, semplicemente navigando su una pagina Web nel browser web. Un file MP4 incorporato in un'app che vuole sfruttare il tuo dispositivo potrebbe fare lo stesso.
Il tuo smartphone o tablet è vulnerabile?
Il tuo dispositivo Android è probabilmente vulnerabile. Il novantacinque per cento del dispositivo Android in the wild è vulnerabile a Stagefright.
Per verificare con certezza, installa l'applicazione Stagefright Detector da Google Play. Questa app è stata realizzata da Zimperium, che ha scoperto e segnalato la vulnerabilità di Stagefright. Controllerà il tuo dispositivo e ti dirà se Stagefright è stato corretto o meno sul tuo telefono Android.
Come prevenire gli attacchi di StageFright se sei vulnerabile
Per quanto ne sappiamo, le applicazioni antivirus Android non ti salveranno dagli attacchi Stagefright. Non dispongono necessariamente di autorizzazioni di sistema sufficienti per intercettare i messaggi MMS e interferire con i componenti del sistema. Google non può inoltre aggiornare il componente Google Play Services in Android per risolvere questo bug, una soluzione patchwork che Google impiega spesso quando si verificano buchi di sicurezza.
Per evitare davvero di essere compromessi, è necessario evitare che l'app di messaggistica scelta si scarichi e avvenga messaggi MMS. In generale, questo significa disabilitare l'impostazione "auto-recupero MMS" nelle sue impostazioni. Quando ricevi un messaggio MMS, non lo scaricherà automaticamente: dovrai scaricarlo toccando un segnaposto o qualcosa di simile. Non sarai a rischio a meno che tu non scelga di scaricare l'MMS.
Non dovresti farlo. Se l'MMS proviene da qualcuno che non conosci, sicuramente ignoralo. Se l'MMS proviene da un amico, sarebbe possibile che il suo telefono sia stato compromesso se un worm inizia a decollare. È più sicuro non scaricare mai i messaggi MMS se il telefono è vulnerabile.
Per disabilitare il recupero automatico dei messaggi MMS, seguire i passaggi appropriati per l'app di messaggistica.
- messaggistica (integrato in Android): Apri Messaggistica, tocca il pulsante Menu e tocca Impostazioni. Scorri verso il basso fino alla sezione "Messaggi multimediali (MMS)" e deseleziona "Recupero automatico".
- Messaggero (da Google): apri Messenger, tocca il menu, tocca Impostazioni, tocca Avanzate e disattiva "Recupero automatico".
- luoghi di ritrovo (da Google): apri Hangouts, tocca il menu e vai a Impostazioni> SMS. Deseleziona "Recupera automaticamente SMS" in Avanzate. (Se non vedi le opzioni SMS qui, il tuo telefono non usa Hangouts per SMS. Disabilita l'impostazione nell'app SMS che usi al posto tuo.)
- messaggi (da Samsung): Apri Messaggi e vai a Altro> Impostazioni> Altre impostazioni. Tocca Messaggi multimediali e disattiva l'opzione "Recupero automatico". Questa impostazione potrebbe trovarsi in un punto diverso su diversi dispositivi Samsung, che utilizzano versioni diverse dell'applicazione Messaggi.
È impossibile creare un elenco completo qui. Basta aprire l'app che usi per inviare messaggi SMS (messaggi di testo) e cercare un'opzione che disabiliti il "recupero automatico" o il "download automatico" dei messaggi MMS.
avvertimento: Se si sceglie di scaricare un messaggio MMS, si è ancora vulnerabili. Inoltre, poiché la vulnerabilità di Stagefright non è solo un problema di messaggio MMS, questo non ti proteggerà completamente da ogni tipo di attacco.
Quando il tuo telefono riceve una patch?
Piuttosto che tentare di aggirare il bug, sarebbe meglio se il tuo telefono avesse appena ricevuto un aggiornamento che lo risolvesse. Sfortunatamente, la situazione di aggiornamento di Android è attualmente un incubo. Se hai un recente telefono di punta, puoi probabilmente aspettarti un aggiornamento ad un certo punto, si spera. Se hai un telefono vecchio, soprattutto un telefono di fascia bassa, c'è una buona probabilità che non riceverai mai un aggiornamento.
- Dispositivi Nexus: Google ha rilasciato gli aggiornamenti per Nexus 4, Nexus 5, Nexus 6, Nexus 7 (2013), Nexus 9 e Nexus 10. L'originale Nexus 7 (2012) apparentemente non è più supportato e non verrà riparato
- Samsung: Sprint ha iniziato a distribuire aggiornamenti per Galaxy S5, S6, S6 Edge e Note Edge. Non è chiaro quando altri vettori stanno spingendo fuori questi aggiornamenti.
Google ha inoltre dichiarato ad Ars Technica che "i dispositivi Android più popolari" riceveranno l'aggiornamento ad agosto, tra cui:
- Samsung: Galaxy S3, S4 e Note 4, oltre ai telefoni sopra.
- HTC: The One M7, One M8 e One M9.
- LG: G2, G3 e G4.
- Sony: Xperia Z2, Z3, Z4 e Z3 Compact.
- Android One dispositivi supportati da Google
Motorola ha anche annunciato che aggiornerà i suoi telefoni con aggiornamenti a partire da agosto, tra cui Moto X (1a e 2a generazione), Moto X Pro, Moto Maxx / Turbo, Moto G (1a, 2a e 3a generazione), Moto G con 4G LTE (1a e 2a generazione), Moto E (1a e 2a generazione), Moto E con 4G LTE (2a generazione), DROID Turbo e DROID Ultra / Mini / Maxx.
Google Nexus, Samsung e LG si sono impegnati a aggiornare i loro telefoni con aggiornamenti di sicurezza una volta al mese. Tuttavia, questa promessa si applica solo ai telefoni di punta e richiederebbe ai vettori di collaborare. Non è chiaro quanto bene possa funzionare. I corrieri potrebbero potenzialmente ostacolare questi aggiornamenti, e questo lascia ancora un gran numero - migliaia di modelli diversi - di telefoni in uso senza l'aggiornamento.
Oppure, installa semplicemente CyanogenMod
CyanogenMod è una ROM personalizzata di terze parti di Android utilizzata spesso dagli appassionati. Porta una versione corrente di Android ai dispositivi che i produttori hanno smesso di supportare. Questa non è la soluzione ideale per la persona media in quanto richiede lo sblocco del bootloader del telefono. Tuttavia, se il tuo telefono è supportato, puoi utilizzare questo trucco per ottenere una versione corrente di Android con gli aggiornamenti di sicurezza correnti. Non è una cattiva idea installare CyanogenMod se il tuo telefono non è più supportato dal suo produttore.
CyanogenMod ha corretto la vulnerabilità di Stagefright nelle versioni notturne e la correzione dovrebbe arrivare presto alla versione stabile tramite un aggiornamento OTA.
Android ha un problema: la maggior parte dei dispositivi non riceve aggiornamenti di sicurezza
Questo è solo uno dei tanti buchi di sicurezza che i vecchi dispositivi Android accumulano, purtroppo. È solo particolarmente cattivo che sta ottenendo più attenzione. La maggior parte dei dispositivi Android, ad esempio tutti i dispositivi con Android 4.3 o versioni precedenti, presenta un componente del browser Web vulnerabile. Questo non verrà mai riparato a meno che i dispositivi non eseguano l'aggiornamento a una versione più recente di Android. Puoi proteggerti contro di esso eseguendo Chrome o Firefox, ma quel browser vulnerabile rimarrà per sempre su quei dispositivi fino a quando non verranno sostituiti. I produttori non sono interessati a mantenerli aggiornati e mantenuti, motivo per cui così tante persone si sono rivolti a CyanogenMod.
Google, i produttori di dispositivi Android e gli operatori di telefonia mobile devono agire in ordine, poiché l'attuale metodo di aggiornamento - o meglio, non l'aggiornamento - dei dispositivi Android sta portando a un ecosistema Android con dispositivi che creano buchi nel tempo. Questo è il motivo per cui gli iPhone sono più sicuri dei telefoni Android: gli iPhone ricevono effettivamente gli aggiornamenti di sicurezza. Apple si è impegnata ad aggiornare gli iPhone più a lungo di Google (solo i telefoni Nexus), Samsung e LG si stanno impegnando ad aggiornare anche i loro telefoni.
Probabilmente hai sentito che usare Windows XP è pericoloso perché non viene più aggiornato. XP continuerà a creare buchi di sicurezza nel tempo e diventerà sempre più vulnerabile. Bene, l'utilizzo della maggior parte dei telefoni Android è lo stesso, anche se non ricevono aggiornamenti di sicurezza.
Alcune tecniche di mitigazione degli exploit potrebbero aiutare a impedire che un worm Stagefright acquisisca milioni di telefoni Android. Google sostiene che ASLR e altre protezioni su versioni più recenti di Android aiutano a impedire a Stagefright di essere attaccato, e questo sembra essere parzialmente vero.
Alcuni gestori di telefonia mobile sembrano bloccare il messaggio MMS potenzialmente dannoso alla loro estremità, impedendo loro di raggiungere telefoni vulnerabili. Ciò contribuirebbe a impedire che un worm si diffonda tramite i messaggi MMS, almeno sui vettori che agiscono.
Immagine di credito: Matteo Doni su Flickr