C’è una nuova vulnerabilità Android, scoperta dalla società di sicurezza Trend Micro, che potenzialmente mette a rischio i dispositivi col sistema operativo mobile di Google di finire in uno “stato vegetativo” permanente. Gli esperti spiegano in una nota di averne messo al corrente Google il 15 maggio, ma alla risoluzione della falla sarebbe stata assegnata una priorità “bassa”. Gli hacker potrebbero sfruttare dei file video.
La falla, scrive sul blog di TrendMicro l’ingegnere Wish Wu, può trasformare un dispositivo Android in un telefono apparentemente “morto”: silenzioso, incapace di effettuare chiamate e con schermo che non risponde ad alcun tipo di comando. Questa vulnerabilità è stata individuata a partire dalla versione 4.3 di Android (Jelly Bean) fino all’ultima, Lollipop, 5.1.1.
A rischio, scrive Wu, c’è potenzialmente oltre la metà dei dispositivi Android al momento in uso. Non sarebbe stata ancora rilasciata alcuna “patch” per risolvere il problema, nonostante – sottolinea Wu – una segnalazione a Google fatta a metà maggio. La vulnerabilità – che si “attiva” con un file multimediale – potrebbe essere sfruttata in due modi: o con un’app “maligna” in grado di infettare il dispositivo, oppure attraverso un sito creato ad hoc.
Google minimizza pur ammettendo l’esistenza della falla: “Vogliamo ringraziare il ricercatore per il report – ha precisato un portavoce di Google – che ci aiuta a rafforzare la sicurezza di Android. Il nostro team sta monitorando da vicino il potenziale sviluppo, tuttavia non abbiamo rilevato alcuna evidenza di un utilizzo concreto. Laddove ci dovesse essere una diffusione reale, l’unico rischio per gli utenti è un’interruzione temporanea della riproduzione multimediale sul loro dispositivo. E’ sufficiente disinstallare l’applicazione che non risponde o evitare di tornare sul sito web che fa sì che il browser si blocchi per risolvere il problema. Forniremo inoltre una patch di correzione in una versione futura di Android”
La scoperta di questa vulnerabilità di Android arriva a pochi giorni da quella denominata Stagefright e segnalata dalla società Zimperium, che metterebbe gli hacker in condizione di violare i dispositivi semplicemente inviando un messaggio multimediale al telefono da “infettare”. Falla a cui Google, come precisato da un portavoce, ha già posto rimedio.