Android è ancora una volta al centro di una grave problematica di sicurezza che rischia di esporre più di un miliardo di dispositivi dotati del sistema operativo di Google. Il problema è ancora una volta legato a Stagefright, il grave bug scoperto a luglio che ha messo a rischio centinaia di milioni di smartphone Android, il quale permetteva ad hacker e malintenzionati di introdursi nei dispositivi semplicemente conoscendo il numero di telefono della vittima e inviando un MMS. La vulnerabilità si basava su una falla presente nel sistema di riproduzione Stagefright ed era particolarmente grave perché chi attaccava poteva rimuovere ogni segno legato all'intrusione, facendo utilizzare un dispositivo compromesso senza che gli utenti avessero la possibilità di accorgersene.
Nel corso degli ultimi mesi molti produttori hanno cominciato a chiudere la falla, impedendo di sfruttare il bug per introdursi all'interno dei dispositivi. Una contromisura che però non ha impedito agli hacker di mettere a punto una nuova minaccia che sfrutta sempre il sistema di riproduzione multimediale ma utilizza come vettore del malware un video mp4 o un audio mp3. Insomma, due tra i formati più popolari rischiano ora di diventare un vero e proprio cavallo di troia all'interno del quale si nasconde un virus in grado di colpire potenzialmente qualsiasi dispositivo Android in circolazione.
Una novità che peraltro spaventa ancora di più, perché va a scavalcare una delle limitazioni più importanti della versione 1.0 del malware: la necessità di conoscere un elemento generalmente privato come il numero di telefono del proprietario dello smartphone. Questa nuova versione, infatti, si basa sui file multimediali e può di conseguenza essere inserita un po' ovunque, anche all'interno di normali siti web. Insomma, Stagefright 2.0 non solo è più pericoloso perché offre numerose possibilità di accedere ai nostri dispositivi in maniera silenziosa, ma anche perché mette a rischio più di un miliardo di dispositivi in tutto il mondo, compresi i tablet sprovvisti di scheda SIM.
E se pensate che aggiornare sia la soluzione, purtroppo non è così. Né la patch per chiudere la falla né l'ultima versione di Android, Lollipop, sono in grado di fermare la diffusione del nuovo Stagefright. Marshmallow dovrebbe risolvere la questione, ma sarà inizialmente rilasciato sui dispositivi Nexus e non raggiungerà nel breve termine tutti i terminali Android. Google ha comunque spiegato di essere al lavoro per chiudere la "falla critica", sulla quale sta lavorando dallo scorso 15 agosto. Nonostante questo, però, gli smartphone non Nexus dovranno aspettare almeno fino a novembre per poter essere messi al sicuro e quelli più vecchi probabilmente non saranno mai aggiornati, restando vulnerabili all'attacco. Se volete essere sicuri di non essere stati colpiti dal malware potete scaricare l'applicazione Stagefright Detector, che però sarà in grado di rilevare la versione 2.0 solo dal momento in cui Google pubblicherà la correzione, cioè il prossimo 10 ottobre.
