È stata scoperta la falla nella sicurezza più pericolosa cha abbia mai colpito i telefonini Android. L’exploit Stagefright, al momento, non sembra essere stato sfruttato da nessuno, e non si segnalano casi reali, ma il pericolo potenziale è enorme per la semplicità con cui consente di infettare qualsiasi dispositivo, sfruttando una grave vulnerabilità a cui, mentre scriviamo, non è stato ancora posto rimedio. A essere a rischio sono praticamente tutti i telefonini, vecchi e nuovi, con il robottino verde.

Un malware può infatti essere inserito in un video che ci raggiunge via Mms, e che per default viene eseguito automaticamente dal client di messaggistica. La vulnerabilità si trova nell’omonimo engine che regola la riproduzione del contenuto video.

Nell’era di whatsapp sono in pochi a usare ancora i vecchi messaggi multimediali, ma il client è lo stesso degli Sms, per cui è sempre attivo. A seconda della versione di Android installata potrebbe trattarsi di Hangouts o Google Messenger, ma l’effetto è lo stesso. Appena il video viene scaricato e si avvia, il telefono può passare totalmente sotto controllo remoto. Un malintenzionato potrebbe quindi attivare il microfono o la telecamera per carpire parole e immagini dell’utente, o accedere all’intero contenuto del dispositivo.

Come impedire l’infezione

In questi giorni in cui il buco è aperto, aspettando una patch che Google promette di rilasciare entro la prossima settimana, è bene proteggersi bloccando il download automatico degli Mms. Anche perché i singoli vendor di telefonini potrebbero rilasciare gli aggiornamenti in tempi diversi rispetto a Google, e alcuni device particolarmente datati ne potrebbero restare esclusi.

Per arginare il problema bisogna disattivare l’impostazione di default che prevede lo scaricamento automatico di contenuti multimediali via Mms. Se usate Hangouts lo si può fare dal menu impostazioni/Sms, mentre con Messenger bisogna andare nelle impostazioni avanzate.
Vista la grande varietà di personalizzazioni di Android sulla piazza, è possibile che per il vostro smartphone le impostazioni siano differenti. Cercatele comunque e disattivate gli Mms, quasi certamente non ne sentirete la mancanza.

Va detto che il rimedio non è definitivo. La vulnerabilità infatti rimane, e basta un tocco sbagliato per accettare un download indesiderato e attivare l’infezione.

Altre informazioni le trovate sul blog di Zimperium, la società di sicurezza che ha scoperto l’exploit.