Ancora guai per Android arriva il bug Stagefright, una delle più gravi vulnerabilità nella storia del sistema operativo mobile di Google. Scoperta a fine luglio permette di prendere il controllo del dispositivo e sottrarre dati attraverso l’invio di un Mms. Nel frattempo Zimperium zLabs – l’aziendac che ha scoperto il primo bug – ha trovato un nuovo vettore d’attacco, perfino più grave del precedente. A essere coinvolto è sempre il sistema di gestione dei file multimediali, ma questa volta il codice malevolo può essere confezionato dentro video mp4 o file audio mp3, i formati più comuni per i filmati e la musica.
La nuova falla, chiamata Stagefright 2.0, è composta da due bug separati e può insediarsi anche dentro un sito accessibile a tutti. Può agire a strascico. L’utente può essere attaccato visitando una pagina web contenente file audio, e mentre la versione 1.0 del bug riguardava più di 950 milioni di dispositivi, questa volta i device interessati supererebbero abbondantemente il miliardo.
Google è a conoscenza di Stagefright 2.0 dal 15 agosto e l’ha etichettata come “falla critica”. Sappiamo però che la correzione ai due bug verrà rilasciata da da Mountain View la prossima settimana. I terminali Nexus, e cioè i dispositivi a marchio Google dovrebbero esser messi al sicuro già il 5 ottobre, quando è previsto anche il rilascio di Android Marshmallow. Di recente anche Samsung e Lg hanno assicurato cicli di update più rapidi: in questo caso Big G metterà a disposizione la soluzione al baco il 10 ottobre.
