L’80% degli smartphone in circolazione ha a bordo il sistema operativo Android e, come si sa da sempre, più un sistema operativo è diffuso più le sue vulnerabilità – evidenti o meno – rischiano di essere scoperte e messe alla mercé di utenti malintenzionati dalla peggior specie.
Quella di cui vi parliamo oggi è una vulnerabilità scoperta qualche mese fa dalla security firm Zimperium qualche mese fa, resa pubblica soltanto ieri e che permette ad un utente malintenzionato di prendere il controllo di uno smartphone Android (Jelly Bean, KitKat e Lollipop) semplicemente inviando un MMS.
In parole semplici, la vittima non ha bisogno di aprire un allegato o scaricare un file volontariamente ma, affinché il codice malvagio venga attivato all’istante, è sufficiente ricevere un MMS. La situazione diventa ancora più pericolosa se i messaggi vengono gestiti dall’app Hangouts, soprattutto perché la vittima potrebbe non accorgersi praticamente di nulla:
Succede prima ancora di ascoltare il suono che notifica la ricezione del messaggio
conferma Joshua Drake, ricercatore di Zimperium, che continua
Ecco cosa lo rende così pericoloso. Potrebbe essere del tutto silenzioso. Potreste addirittura non vedere nulla.
Uno scenario preoccupante che trova ancora più senso comprendendo la modalità di attacco: l’utente malintenzionato crea un breve video, nasconde all’interno di esso il malware e lo invia tramite MMS al vostro numero di telefono; nel momento in cui questo MMS viene ricevuto tramite Hangouts, Android si occupa di elaborare inizialmente (e silenziosamente) il video per renderlo immediatamente disponibile nella galleria per la visione successiva: è proprio l’elaborazione iniziale ad attivare il malware, senza che l’utente faccia né si renda conto di niente.
Lo scenario è un po’ differente se invece si utilizza l’app Messaggi nativa di Android AOSP: in tal caso la pericolosità diminuisce leggermente, poiché c’è bisogno che l’utente legga l’MMS – anche senza riprodurre il video – affinché questo vada in pre-processing ed attivi il malware al suo interno. Gli effetti collaterali del malware sono tanti: una volta che un malintenzionato accede allo smartphone, questo è in grado di far praticamente tutto – copiare ed eliminare dati, prendere possesso di microfono e webcam e quant’altro.
La buona notizia è che Zimperium ha condiviso la sua scoperta con Google fin dall’inizio e che il big di Mountain View ha già accettato ed integrato le patch in Android Lollipop Vanilla, tuttavia sorge spontanea la domanda: quando impiegheranno tutti gli altri produttori ad integrare questa patch nelle versioni personalizzate del sistema operativo? Le versioni di Android precedenti a Lollipop verranno lasciate vulnerabili?
Interrogativi che difficilmente avranno una risposta netta e precisa, anche se Zimperium è assolutamente sicura che questa vulnerabilità – scoperta in laboratorio – non viene almeno per il momento sfruttata dall’esterno; in poche parole, nessuno ha ancora creato un video malvagio che possa danneggiare il sistema.
Dal canto nostro possiamo soltanto consigliarvi, almeno finché non avremo novità a riguardo, di disattivare la ricezione degli MMS se non strettamente necessario e, qualora lo fosse, di non utilizzare Hangouts come gestore di SMS ed MMS oltre che di evitare di aprire MMS provenienti da mittenti sconosciuti.
