La stragrande maggioranza dei telefoni Android può essere violata inviando un messaggio multimediale appositamente predisposto (MMS). Lo ha scoperto un ricercatore di sicurezza. Il pauroso exploit, che può essere attivato conoscendo appena il numero di telefono della vittima, è stato sviluppato da Joshua Drake, vice presidente della ricerca della società di sicurezza mobile Zimperium.
Drake ha trovato diverse vulnerabilità in un componente principale di Android chiamato Stagefright, utilizzato per elaborare, riprodurre e registrare file multimediali. Alcuni dei difetti consentirebbero l’esecuzione di codice da remoto e possono essere attivati quando si riceve un determinato messaggio MMS, che porta poi al download di un file video appositamente predisposto attraverso il browser o all’apertura di una pagina Web con contenuti multimediali incorporati.
Per poter attivare il malware non è necessario che gli utenti debbano necessariamente eseguire i file multimediali dannosi, basta solo riprodurre tali file sul file system del telefono.
L’attacco via MMS è il più spaventoso di tutti perché non richiede alcuna interazione da parte dell’utente; il telefono ha solo bisogno di ricevere un messaggio. Ad esempio, l’utente malintenzionato potrebbe inviare MMS dannosi quando la vittima dorme e la suoneria viene magari staccata. Dopo l’attacco, il messaggio può essere cancellato e la vittima potrebbe non accorgersi nemmeno che il suo telefono è stato violato.
Oltre che scoprire la vulnerabilità, il ricercatore ha anche creato le patch necessarie per correggere il problema e le ha condivise con Google tra aprile e inizio maggio. La società americana ha preso le questioni molto sul serio e le ha applicate al suo codice base Android entro 48 ore.
Nonostante questo, i rischi ci sono ancora, purtroppo. A causa del ritmo generalmente lento degli aggiornamenti Android, oltre il 95 per cento dei dispositivi Android possono ancora essere colpiti. Anche tra gli smartphone della linea Nexus, che in genere ricevono le patch più velocemente di quelli di altri produttori, solo il Nexus 6 ha ricevuto finora alcune delle correzioni.
Sembra tuttavia che Google abbia confermato che le patch sono già state fornite ai partner e che ora spetta a loro implementarle nelle rispettive versioni di Android.