Tutti i prezzi sono validi al momento della pubblicazione. Se fai click o acquisti qualcosa, potremmo ricevere un compenso.

Stagefright, scoperta una nuova vulnerabilità via browser. Patch in arrivo

02 Ottobre 2015 83

Sembra non esserci proprio pace per il povero Stagefright, una delle app di sistema di Android dedicate alla decompressione e riproduzione dei contenuti multimediali. Dopo la falla critica di sicurezza scoperta qualche mese fa, il famoso "caso Stagefright" che ha chiamato in prima linea tutti produttori e sviluppatori software, oggi arrivano informazioni riguardo a un nuovo attacco diretto proprio al media server, questa volta potenzialmente anche più pericoloso, perché si passa da browser.

Con questo nuovo exploit, scoperto sempre dagli stessi ricercatori di Zimperium che avevano individuato la prima falla, basta navigare su un sito Web che contenga un file MP3 o MP4 con dei metadati formattati in un certo modo. Combinato con il "giusto" banner pubblicitario che fa il cosiddetto "hijacking" (redirect automatico a un'altra pagina senza possibilità di annullare l'operazione), il rischio di esposizione diventa molto elevato. Ma non solo: email, app malevole, tutto ciò che include un semplicissimo link Web può essere un veicolo per l'attacco.

Come per il precedente attacco Stagefright, i dispositivi Android vulnerabili sono praticamente tutti, dalla versione 1.0 alla 5.1.1 (probabilmente solo perché Marshmallow non è ancora stato rilasciato). Detto questo, Google è già a conoscenza del problema, e ha già dichiarato che una soluzione sarà già inclusa nella patch mensile di sicurezza di ottobre.

Inoltre, è importante sottolineare che, Zimperium a parte, nessuno sa come "costruire" gli MP3 / MP4 malevoli. Zimperium ha detto che non pubblicherà le "istruzioni", almeno per ora.


83

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
a'ndre 'ci

oh.. solo per lo z3? l'ultimo top rilasciato? ma che strano eh... anche il note3 e il note4 l'hanno ricevuto... ma non preoccuparti...

dickfrey

Puvrett...

a'ndre 'ci

Intendo le patch per farlo funzionare...non correzioni normali

qandrav

sì perché le patch riguardano tanti ambiti, non solo la sicurezza ma a volte anche l'aggiunta di funzioni.

BOF nel 2015 è come un chirurgo che opera senza guanti e senza lavarsi mani e braccia

a'ndre 'ci

risposta: no

a'ndre 'ci

si, devi farla in ogni applicazione però.... la vedo peggio ancora..

a'ndre 'ci

anche per molti sony, htc, motorola, alcatel, asus ecc...
ma si, scrivere quelle frasi da bambinetto fa figo

a'ndre 'ci

tutto l'articolo, a partire dal titolo, punta a minimizzare la cosa dando un'idea di sicurezza.

a'ndre 'ci

impossibile distribuirle in quel modo

a'ndre 'ci

perchè, nel 2015 ti pare normale che rilascino software a metà per poi distribuire TB di patch nei primi periodi?

Androidfan

Sempre buone notizie eh!

Alessandro Micheli

perché sto bene con KitKat e lollipop sul moto x 2013 fa consumare più batteria, oltre a eliminare la feature del risveglio del display col semplice passaggio della mano (senza toccare il telefono)

Alessandro

C'è sempre un BOF da qualche parte..

qandrav

fumo sicuramente c'è, le "istruzioni" le conosce solo una persona ma come si fa ad esserne certi? magari stanno perfino affinandolo (sempre sia possibile).

Preoccuparsi? No non penso, però se si sbrigassero tutte ad aggiornare non ne staremmo nemmeno parlando, quindi mi auguro si diano na svegliata

franky29

si ma alla fine mi devo preoccupare o è solo fuffa e niente arrrosto?

marco

Ma perché non dovresti aggiornare a lollipop?

marco

Per un altro anno si a detta di Google

marco

No vengono distribuite tramite ota, almeno sui Nexus

CPU

Punto tutto su Samsung

qandrav

no, il buffer overflow nel 2015 non deve capitare perché lo sforzo che devi fare per eliminarli al 99,9% è minimo.

ovviamente capitano cose ben peggiori ma qua stiamo parlando di questo bug non del mondo in generale

Luca

siamo nel 2015, e tante cose non più accettabili continuano a capitare giornalmente...... mettiti in fila :)

Elias Koch

1- deve comprare l'informazione e Zimperium perde ogni credibilitá (= fine dell'azienda) se il problema si palesa prima che la societá lo abbia pubblicato ufficialmente, ergo non lo comprerá
2- lo deve imparare e avviare prima che le varie societá implementino la patch, e ora che sta uscendo android 6, presumibilmente tutti si lanceranno ad aggiornare i terminali che contano.
3- i migliaia di milioni di terminali non aggiornati sono quelli entrylevel, e difficilmente ci si ricava qualcosa da detti terminali, in termini economici

risultato, IMHO ci vorrá moltissimo prima che qualcuno lo implementi per il puro gusto di rompere le scatole, rischiando la galera

Fabri Fina

Non ci vorrà molto che qualcuno lo impari

Paolo

si si tranquillo si era capito e come...

Superb

Punto tutto si StonexOne.

talme94

Un posto che non esiste, quindi (in Italia)

qandrav

buffer overflow, spero non sia quello (siamo nel 2015 non è accettabile esistano sistemi non protetti da questo)

talme94

BOF

Giardiniere Willy

Speriamo.... Alla fine dovrebbe servire per queste cose

qandrav

pur non essendoci le istruzioni, si sa come agisce?
vi prego non ditemi BOF

MattiaG

Ho un dubbio. Tempo fa non era stato detto che queste patch verranno distribuite tramite il play services? O mi sto confondendo io ?

ekerazha

Vediamo quali produttori aggiorneranno per primi i propri terminali...

Elias Koch

beh, io a quelli sono interessato, degli altri ben poco mi importa, non li uso

M3r71n0

OT:
Appena uscito il firmware ufficiale 5.1.1 del Note 10.1 2014ed. LTE (SM-P605)
(PDA: P605XXU1EOI5 CSC: P605OXAEOI5 CHANGELIST: 5849447 BUILD DATE: 19.09.2015)

Aster

al tram no al massimo cyano e altri simili:)

Palux

è spesso così.
io trovo la falla, te lo comunico, se passa un tempo X io rendo di pubblico dominio oltre alla notizia anche il materiale per arrivarci.

semplice. Se no campa cavallo.

ale

Puoi sempre fare un workaround, agire sui browser e sulle librerie per le webview (che ora si aggiornano tramite play store per fortuna) per far si che i video che vorrebbero sfruttare il bug vengano bloccati prima di essere processati con la libreria buggata, non è la soluzione migliore ma meglio di nulla insomma

Carburano

scherzo... ne ho sempre sentito parlar bene :)

Peccato per l'abbandono, ma da Samsung ci si aspetta questo e altro.

lovinworks

In azienda non importa che tu sia gazzella o vulnerabilità; non sarai comunque patchato.

dickfrey

Problemi non me ne ha mai dati, sulla batteria poi non ha rivali.
E' che non lo supportano più, nonostante fosse tranquillamente nei 18 mesi. Scelta commerciale (sbagliatissima) di Samsung.

antonioliccard0

Domanda: il nexus 4/10/7 2012 continueranno a ricevere questi aggiornamenti di sicurezza oppure ci attacchiamo al tram? :D

Matteo Cazzoli

di questo periodo manco quello... devi essere ad almeno 50km da:
-una zona con un fiume
-montagne a rischio frana
-zone sismiche
-zone a pericolo uragani, ecc

Oliver Cervera

lol

ErCipolla

Di solito lo è, non nei confronti degli utenti ma nei confronti di chi deve mettere una pezza (Google e produttori vari). Della serie: muovetevi a fare la patch, altrimenti vi "incoraggiamo" noi rendendo pubblico l'exploit.

Technik

La cosa assurda è che Lollipop lo può reggere benissimo, il Note 3 Neo è un telefono molto equilibrato e per l'uso che ne facciamo noi va benissimo... ma niente, ci devono far cambiare device. Di sicuro non sarà più Samsung.

Contaci

Le aziende informatiche non sono formate da soli hacker, inoltre ci sono anche quelli molto bravi che preferiscono ad un normale stipendio, trovare le falle e venderle al miglior offerente che ovviamente non le spreca per infettare i telefoni della gente comune

Andre

Povera Sony: neanche il tempo di chiudere le falle, che ne vengono scoperte delle nuove...

Carburano

note 3 neo è un vero best bug

sergio

ma la fine dell'articolo, "almeno per ora", era una minaccia per caso? :)

dickfrey

N3 Neo pure io... almeno la 4.4.4. Ma niente !

Recensione Xiaomi 14 Ultra, è LO smartphone per fare foto!

Recensione Asus Zenfone 11 (Ultra): tutto nuovo ma sa di déjà vu

Recensione Realme 12 Pro Plus 5G: il cameraphone a 400 euro

Recensione OnePlus Watch 2: sfida a Samsung con Wear OS e un'ottima batteria