Metaphor, nuovo exploit di Stagefright: vulnerabili milioni di device Android

16 Marzo 2016 234

I bug della libreria Stagefright verranno sicuramente ricordati come i più pericolosi mai identificati. Ad oggi, la minaccia sembrerebbe esser stata debellata grazie al rilascio di patch da parte di tutti i produttori di smartphone. Se da parte sua, Google ha creato un nuovo sistema di rilasci mensili per garantire maggior sicurezza a tutto l'ecosistema Android, un nuovo grido di allarme si sarebbe alzato dal team di ricercatori israeliani della NorthBit, attraverso un nuovo exploit della libreria potenzialmente pericoloso per milioni di dispositivi.

Il nuovo exploit prende il nome di "Metaphor" e attraverso un video girato dagli stessi ricercatori, viene eseguito con successo su un Nexus 5 e successivamente testato anche su LG G3, HTC One e Samsung Galaxy S5, tutti etichettati come a rischio.

Rispetto ai primi bug di Stagefright scoperti, che utilizzano la libreria C++ integrata all'interno del sistema Android, Metaphor bypassa la ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi), una misura di protezione contro buffer overrun ed exploit, che consiste nel rendere (parzialmente) casuale l'indirizzo delle funzioni di libreria e delle più importanti aree di memoria.

Se durante l'esecuzione di codice si accede ad una struttura dati con l'indirizzo sbagliato, si ottengono così dati errati che a loro volta provocheranno un'eccezione, sfruttabile da un qualsiasi malware per accedere alla memoria di sistema.

ASLR è presente su Android 5.0 e 5.1, ma non su versioni antecedenti come la 2.2 e la 4.0, dunque non tutte le distribuzioni sarebbero infette. In ogni caso, trattandosi di quelle più recenti, il rischio è comunque alto. Dopo aver bypassato l'ASLR, nel video viene mostrata l'apertura di un link inviato in un messaggio, prima che l'exploit invii a sua volta una serie di dati del dispositivo al computer dell'hacker, che avrà il controllo sul dispositivo, prelevando dati sensibili ed altre informazioni di sistema.

L'esperimento condotto da NorthBit rimetterebbe dunque in allarme l'intero ecosistema Android, nuovamente vulnerabile a questo genere di attacchi, vedremo come Google e i produttori risponderanno.

Una scelta che vi fa onore? Huawei Honor 5c, compralo al miglior prezzo da Monclick a 189 euro.

234

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
michi17

eh come no, detto da te

Sagitt

un giorno ti renderai conto che il tuo discorso non ha un senso logico

michi17

fate quasi pena guarda da tanto che siete ottusi, ma contenti voi di stare con telefoni da terza elementare.. però sappi che ogni volta che ti becco a scrivere "ma come è lento a diffondersi marshmallow" io ti risponderò "oddio ma quanto ci mettono a mettere il multiwindow sugli iphone"... tanto non ci arrivi che il punto del discorso è che in molti preferiscono avere il firmware in ritardo ma con piu scelta dall inizio, mentre altri come te preferiscono l'opposto e quindi avere tutti gli aggiornamenti subito ma rinunciare a delle funzioni su base arbitraria da parte dell'oem... basta trovarsi d'accordo e smettere di scrivere sempre le solite banalità... poi non potete prendervela con chi sotto ogni notizia iphone scrive che non è neanche qHD se fate uguale

Sagitt

Non puoi scegliere, puoi solo prendere il device che più ti aggrada con dei compromessi. Se vuoi lo stylus devi prendere un note, se vuoi gli aggiornamenti un nexus, se vuoi i 4" un sony, se vuoi un bel design unibody un htc, se vuoi gli schermi curvi un galaxy, se vuoi economico e pulito un motorola. Io ho degli android e so benissimo com'è la "scelta", è piena di compromessi. TU PUOI SCEGLIERE? si, però poi ti ritrovi sempre un sistema differente in base al dispositivo che scegli, seppur è Android, l'esperienza d'uso sarà sempre diversa, con funzioni diverse, con opzioni diverse, con tutto diverso se non le app che si possono installare. a casa ho dei samsung, nexus, lg, asus. ho giocato con rom, root, xposed, bootloader, recovery.... non devi spiegarmi nulla. Il multiwindows? bello.. lo hai, che prende le app e le taglia come vuole lui che esse vadano bene o meno, no caro non è cosi che deve funzionare, è il sistema a dover dire alle app in che modo devono funzionare in quella modalità... lo stylus fenomenale se poi per averlo devi prendere per forza il padellone note o chissà quale altro smartphone ignoto. Dov'è la scelta? se voglio un 4" con lo stylus? se voglio prendere il oneplus con lo stylus? per piacere è tutta finzione la vostra "possibilità di scelta", se apple decide di toglire il jack perfetto, produttori e il mondo si adeguerà e nel breve periodo non sarà più un problema, se invece il tuo produttore a caso decide di toglierlo.. stai sicuro che rimarrai amareggiato un bel pò...

michi17

mi dispiace ma è inutile che ti arrampichi sugli specchi... con android io posso SCEGLIERE, cosa che a voi ortofrutticoli sembra fare quasi schifo.. se voglio la stylus e il multi window POSSO, se voglio android stock POSSO, se voglio pinco pallino POSSO scegliere... con iOS puoi solo stare li a pregare ogni mese che apple e solo apple decida di introdurre qualcosa, e il multiwindow su ipad mini e iphone plus no, e il jack lo leviamo, niente widget, niente stylus.

Il discorso quindi torna al mio punto principale: per quello che voglio e mi interessa mi sta piu a genio avere l aggiornamento con estremo ritardo ma poter scegliere le feature che voglio da subito, piuttosto che avere ogni aggiornamento al day one ma essere limitato a quello e solo quello. Sono questioni di scelte e quindi è inutile stare a dire "MM ce l hai?" perchè ti posso sempre rispondere "il multiwindow ce l hai?"

Non mi sembra un concetto da phd

Sagitt

qui non mi pare si sia mai nominato NOTE, in ogni caso il 99% dei telefoni non ha la stylus e l'utilizzo reale su un teelfono è minimo, posso capire tablet, ma telefono proprio no. detto questo non arrampichiamoci. un bel nexus con root e xposed e passa la paura.

Sagitt

però lo avrai su android N, rimane comunque una funzione integrabile con xposed ed altro. è Android, lo osannate tanto per la libertà poi pretendente firmware osceni dei produttori. che senso ha un multiwindows non gestito dove le app vanno tanto per andare e non con specifiche api di funzionamento.

michi17

e la stylus? e altre app integrate che ho visto comparire poi anche sul play store e in articoli di hdblog?

michi17

mh e il multi window nel 2014 col nexus lo avevo?

Sagitt

puoi anche avere un nexus e avere le funzionalità subito

nicola

tempi brevi,prima si parlava di marzo ora siamo passati ad aprile-maggio e chissà se arriverà mai sul mio ze500cl.Ero molto contento della scelta dello zenfone 2 con tutti gli aggiornamenti sono arrivati all'inizio,asus mi era sembrata molto attenta verso i suoi clienti,ma da inizio 2016 sembra si sia addormentata,mentre motorola aggiorna il moto E 2015 ad android 6 smatphone da 100 euro che non ha neanche il flasch

Marco Montana

WP non esiste

michi17

per me cambia che preferisco avere il note edge fermo alla 5.1.1 per le funzionalità che ha, piuttosto che avere un iphone 6s aggiornato all'ultimo minor upgrade possibile ma senza determinate funzioni... se il prezzo da pagare per avere aggiornamenti immediati è dover essere limitati a quello che decide l'oem in tutto e per tutto allora preferisco aspettare

Sagitt

esattamente, e MM ha decisamente buone novità come gestore privacy, now on tap ed altre cose molto carine. Ciò non cambia nulla.

michi17

finche non ce l hai non puoi sapere... in ogni caso il punto è che non conta quanto in fretta arriva l'aggiornamento, ma quanto cambia..

loresan

Il tridente è tanta roba davvero xD

IlPolitico

ahahahahahahah hai speso 1109€!!!!!!!!

boosook

Allora chemmenefregammé ancora di più! ;)

qandrav

senza cattiveria ma trovi tutte le informazioni al riguardo su wikipedia

AllBlack

Spiegati,grazie.

AllBlack

Esattamente ieri su 9to5mac è uscito un articolo in cui viene spiegato come il problema non sia stato iCloud,se ti annoia cercarlo ti do il link.

qandrav

quello che hai scritto non ha alcun senso logico, è comunque privilege escalation

AllBlack

Fidati che le falle per il jailbreak e quelle di cui parlo io non c'entrano nulla.

Denis

Listino:1109 Valore reale: circa 280. Se tutti i broker finanziari avessero la tua esperienza non oso immaginare il mondo come girerebbe ahahahah

Giuliano

In effetti da dicembre tutto tace, mah, speriamo che almeno rilascino la 6.0 in tempi brevi...

Sagitt

Fondamentale il multi su 4"..

Sagitt

Quando ci sono falle Android c'è sempre la scusa "eh ma tanto non la sfruttano"

Sagitt

Sì devi accedere a una Wi-Fi, deve esserci questo server ntp bla bla

Sagitt

Questo è ovvio

lupo

rasty++

a già... :)

Baronz

veramente se hai il nexus avrai già android 6 MM che non è affetto da questo problema

Mattia Cristofaro

Ma ci gira Photoshop e Sony Vegas? Lol

diego

La sicurezza di aver pagato un cellulare piu di mille euro che ne vale solo 200! lol

Solomon Taiwo

E il fappening cos'è stato? Tutte le attrici hano divulgato le loro foto intime per divertimento?

nicola

vabbè io sto tranquillo sulla sicurezza ho uno asus zenfone2,sono fermo alla patch di dicembre ....tacci loro,sono partiti bene con sti zenfone ad aggiornamenti ed ora ciao,ciao

ekerazha

Per i Nexus sì

Apocalysse

iOs non ha falle? Cosa pensi che sfrutti il jailbreak per renderlo possibile? Please ...

Ruben Fasola

Che l'abbiano bannato di nuovo? (Penso sarebbere la quinta volta)

Topper

E milioni

boosook

A me che ca..o me ne frega a me... Io c'ho il nexus! :)

boosook

I nexus verranno patchati nel giro di un mese. Per quanto riguarda i 1102 euro spesi per un telefono come iphone plus che non è niente di speciale, io non me ne vanterei tanto in giro! ;) poi guarda che questi problemi ci sono anche su ios, solo che tu probabilmente vivi nel reality distortion field.

franky29

Sei pippoman ? XD

franky29

E l'utente medio prende proprio quelli visto che stanno in esposizione nelle migliori ( peggiori) vetrine degli iper mercati XD

franky29

Ahaha

franky29

Mi hau fatto sputare dalle risate

franky29

Forse perché ci stanno più abitanti lololol

momentarybliss

brrr, sono realmente in ansia per questo nuovo bug che mette in pericolo milioni e milioni e milioni e milioni e milioni e milioni milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni e milioni di utenti android

The Scrooge

Sempre i soliti commenti di gente che dice "Sempre i soliti commenti di gente che dice "Sempre i soliti commenti di gente che dice "Sempre i soliti commenti di gente che dice "sempre i soliti commenti di gente che dice "sempre i soliti commenti di ente che dice "sempre i soliti articoli flame"... Ma su un un un un un po' di fantasia ;)

Skip

In pratica chi ha android deve aver paura se qualche malintenzionato, sfruttando un exploit di sicurezza, possa carpire i dati della carta di credito. Nel tuo caso i soldi ti sono stati rubati all'acquisto...ci credo che poi non devi più preoccupartene :-D

P.S. ovviamente è una battuta per ridere

Samsung Galaxy Note 7: la nostra recensione

Samsung Galaxy Note 7 e Gear VR 2016 ufficiali: dal 2 settembre in Italia | Foto

La gamma Note a confronto: dal 1° Phablet al 7° Note

Meizu MX6: la nostra recensione