Cos'è la vulnerabilità Stagefright Android MMS?

Ieri un ricercatore di sicurezza ha rivelato una serie di vulnerabilità ad alta gravità relative a Stagefright, un lettore multimediale nativo di Android, che colpiscono quasi tutti i dispositivi Android nel mondo. Le vulnerabilità Stagefright hanno serie implicazioni per la sicurezza: un aggressore potrebbe sfruttarle per controllare in remoto e rubare dati da un dispositivo inviando alla vittima un messaggio multimediale (MMS) confezionato con un exploit.

Qualsiasi numero di applicazioni può elaborare il contenuto degli MMS e quindi ricevere exploit, ma i dispositivi che utilizzano Google Hangouts per questo scopo potrebbero essere più a rischio poiché una vittima potrebbe anche non aver bisogno di aprire il messaggio in Hangouts perché un aggressore possa prendere il controllo del loro dispositivo. In tutti gli altri attacchi ipotetici sembra che la vittima abbia bisogno di aprire la sua app predefinita di messaggistica SMS e il thread del messaggio stesso perché l'exploit funzioni (anche se il file multimediale non deve necessariamente essere riprodotto all'interno dell'app).

Sulla base della ricerca Stagefright di Lookout nelle ultime 24 ore, sembra anche che i file multimediali visualizzati in un browser (ad esempio un video web) potrebbero essere utilizzati per fornire un attacco Stagefright.

Le vulnerabilità Stagefright riguardano tutti i dispositivi Android con Froyo 2.2 a Lollipop 5.1.1, che copre circa il 95% di tutti i dispositivi Android oggi. Il ricercatore di sicurezza che ha scoperto queste vulnerabilità ha avvisato Google di questo problema in aprile e ha incluso delle patch di sicurezza. Google ha accettato le patch e ha inviato gli aggiornamenti di sicurezza ai suoi partner da distribuire ai dispositivi vulnerabili.

La protezione di Lookout

Lookout protegge i dispositivi dal malware fornito utilizzando gli exploit Stagefright. Tenete a mente che un dispositivo rimarrà vulnerabile fino a quando non riceverà le patch di Google per queste vulnerabilità. I dispositivi Android diversi dai dispositivi Nexus dovranno infine ottenere queste patch attraverso un partner di Google (un produttore di dispositivi o un vettore wireless). I dispositivi Nexus, tuttavia, riceveranno un aggiornamento di sicurezza diretto da Google la prossima settimana, secondo un portavoce di Google.

Purtroppo, le patch di sicurezza consegnate dai partner di Google possono richiedere settimane e persino mesi per distribuirsi completamente. Nel frattempo, gli utenti Android in attesa delle patch di sicurezza Stagefright possono prendere ulteriori misure sul loro dispositivo per proteggersi.

Protezione aggiuntiva

Come ulteriore misura di protezione, Lookout raccomanda di disabilitare l'auto-fetching dei messaggi MMS sull'app SMS predefinita di un dispositivo.

Quando un dispositivo Android riceve un video messaggio via SMS, per impostazione predefinita scaricherà automaticamente il file. Pertanto, la disabilitazione dell'auto-fetching impedisce a un attaccante di far scaricare automaticamente a un dispositivo un video dannoso contenente exploit Stagefright, permettendo all'utente di eliminare il messaggio ed evitare lo sfruttamento del dispositivo.

L'app SMS predefinita di un dispositivo può essere "Hangouts", o può essere una versione di un'app Android nativa variamente chiamata "Messages", "Messaging", o "Messenger", a seconda del modello del dispositivo e della versione Android. Per determinare l'app SMS predefinita del tuo dispositivo, vai su Impostazioni > Applicazioni predefinite > Messaggi.

Abbiamo incluso delle istruzioni dettagliate qui sotto che mostrano come disabilitare l'auto-fetching degli MMS per le quattro app di messaggistica elencate sopra. Se un dispositivo utilizza un'altra applicazione SMS predefinita, Lookout raccomanda di disabilitare l'auto-fetching degli MMS all'interno di quell'app o di passare a un'app come Hangouts che permette di disabilitare questa funzione. Gli utenti di Lookout possono contattare il supporto di Lookout se hanno bisogno di aiuto per disabilitare l'auto-fetching degli MMS.

Mentre queste istruzioni renderanno più difficile per un dispositivo essere sfruttato via MMS, Lookout incoraggia gli utenti Android ad esercitare cautela quando visualizzano video visualizzati su siti web non affidabili o inclusi in messaggi da mittenti sconosciuti.

Istruzioni per disabilitare l'auto-fetching degli MMS per Hangouts:

Prima di tutto, aprire Hangouts, poi, toccare il pulsante del menu in alto a sinistra:

Poi toccare "Impostazioni":

Poi toccare "SMS":

(Nota: se SMS non è elencato qui, allora un dispositivo non usa Hangouts per recuperare SMS/MMS e l'utente dovrebbe invece disabilitare il recupero automatico degli MMS per l'applicazione in questione.)

Poi scorri in basso e deseleziona "Recupero automatico MMS":

Istruzioni per disabilitare il recupero automatico degli MMS per Messaggi:

First, open Messages, then, tap on the menu button in the upper right corner:

Then tap “Settings”:

Then tap “Multimedia message (MMS)”:

Then uncheck “Auto retrieve”:

Instructions for disabling auto-fetching of MMS for Messaging:

First, open Messaging, then, tap on the menu button in the bottom right corner:

Then tap “Settings”:

Then scroll down and uncheck “Auto-retrieve”

Instructions for disabling auto-fetching of MMS for Messenger:

First, open Messenger, then, tap on the menu button in the upper right corner:

Then tap “Settings”:

Then tap “Advanced”:

Then disable “Auto-retrieve”:

In short, Lookout recommends leaving MMS auto-fetching disabled until a device is patched. If a system update is pushed to your device, you should install it at your earliest convenience. Potete continuare a seguire il blog di Lookout per rimanere aggiornati su questo problema.