Cosa devi sapere su stagefright 2.0

Gli ultimi due mesi sono stati riempiti con molta incertezza su una serie di problemi popolarmente chiamati Stagefright, un nome guadagnato perché la maggior parte dei problemi riscontrati hanno a che fare con libstagefright in Android. La società di sicurezza Zimperium ha pubblicato quello che chiamano Stagefright 2.0, con due nuovi problemi relativi ai file mp3 e mp4 che potrebbero essere manipolati per eseguire codice dannoso sul telefono.

Ecco cosa sappiamo finora e come proteggerti.

Che cos'è Stagefright 2.0?

Secondo Zimperium, un paio di vulnerabilità scoperte di recente consentono a un utente malintenzionato di presentare un telefono o un tablet Android con un file che assomiglia a un MP3 o MP4, quindi quando il sistema operativo visualizza in anteprima i metadati per quel file che il file potrebbe eseguire Codice malevolo. Nel caso di un attacco Man in the Middle o di un sito Web creato appositamente per la consegna di questi file non validi, questo codice potrebbe essere eseguito senza che l'utente lo sappia.

Zimperium afferma di aver confermato l'esecuzione remota e lo ha portato all'attenzione di Google il 15 agosto. In risposta, Google ha assegnato CVE-2015-3876 e CVE-2015-6602 alla coppia di problemi segnalati e ha iniziato a lavorare su una soluzione.

Il mio telefono o tablet è interessato?

In un modo o nell'altro, sì. CVE-2015-6602 si riferisce a una vulnerabilità in libutils e, come sottolinea Zimperium nel loro post annunciando la scoperta di questa vulnerabilità, ha un impatto su ogni telefono e tablet Android che risale fino ad Android 1.0. CVE-2015-3876 interessa tutti i telefoni o tablet Android 5.0 e versioni successive e potrebbe teoricamente essere distribuito tramite un sito Web o un uomo durante l'attacco centrale.

PERÒ.

Al momento non ci sono esempi pubblici di questa vulnerabilità mai utilizzati per sfruttare qualsiasi cosa al di fuori delle condizioni di laboratorio e Zimperium non ha in programma di condividere l'exploit di prova utilizzato per dimostrare questo problema a Google. Mentre è possibile che qualcun altro possa capire questo exploit prima che Google emetta una patch, è improbabile che i dettagli dietro questo exploit siano ancora privati.

Cosa sta facendo Google al riguardo?

Secondo una dichiarazione di Google, l'aggiornamento di sicurezza di ottobre affronta entrambe queste vulnerabilità. Queste patch verranno create in AOSP e verranno distribuite agli utenti Nexus a partire dal 5 ottobre. I lettori di Eagle potrebbero aver notato che Nexus 5X e Nexus 6P che abbiamo esaminato di recente avevano già installato l'aggiornamento del 5 ottobre, quindi se hai prenotato uno di quei telefoni il tuo hardware arriverà patchato contro queste vulnerabilità. Ulteriori informazioni sulla patch saranno disponibili nel gruppo Google Security di Android il 5 ottobre.

Per quanto riguarda i telefoni non Nexus, Google ha fornito l'aggiornamento di sicurezza di ottobre ai partner il 10 settembre e ha lavorato con OEM e operatori per consegnare l'aggiornamento il prima possibile. Se dai un'occhiata all'elenco dei dispositivi patchati nell'ultimo exploit Stagefright, avrai una ragionevole idea di quale hardware viene considerato una priorità in questo processo.

Come posso rimanere sicuro fino all'arrivo della patch per il mio telefono o tablet?

Nel caso in cui qualcuno stia davvero correndo con un exploit Stagefright 2.0 e provando a infettare gli utenti Android, il che è altamente improbabile a causa della mancanza di dettagli pubblici, la chiave per rimanere al sicuro ha tutto a che fare con l'attenzione su dove sei " stai navigando e a cosa sei connesso.

Evita le reti pubbliche quando puoi, fai affidamento sull'autenticazione a due fattori ogni volta che è possibile e rimani il più lontano possibile dai siti Web loschi. Principalmente, roba web di buon senso per tenersi al sicuro.

È questa la fine del mondo?

Nemmeno un po. Sebbene tutte le vulnerabilità di Stagefright siano effettivamente serie e debbano essere trattate come tali, la comunicazione tra Zimperium e Google per garantire che questi problemi vengano affrontati il ​​più rapidamente possibile è stata fantastica. Zimperium ha giustamente richiamato l'attenzione sui problemi con Android e Google è intervenuta per risolvere. In un mondo perfetto queste vulnerabilità non esisterebbero, ma esistono e vengono affrontate rapidamente. Non posso chiedere molto di più, data la situazione in cui ci troviamo.