Vulnerabilities discovered in the Stagefright media playback engine that is native to Android devices could be the mobile world’s equivalent to Heartbleed. Almost all Android devices contain the security and implementation issues in question; unpatched devices are at risk to straightforward attacks against specific users that put their privacy, data and safety at risk.
Google has patched internal code branches, but devices require over-the-air updates and given the shaky history of handset manufacturers and carriers pushing out security fixes, it’s unknown how long it will take to update vulnerable devices, or whether some will ever get fixed. Silent Circle has patched its Blackphone against the vulnerabilities, as has Mozilla, which uses Stagefright code in Firefox.
The flaws have been in Android since—and including—version 2.2; devices running Android versions older than Jelly Bean (4.2) are at greater risk since they lack exploit mitigations that have been built into newer versions of the OS.
Researcher Joshua Drake, vice president of platform research and exploitation at Zimperium zLabs, said exploits could be particularly insidious given the fact that an attacker need only use a malicious MMS message that could trigger the vulnerability without user interaction, and delete the message before the victim is aware. All an attacker would need, Drake said, is the device’s phone number.
“It’s a nasty attack vector,” he said.
The problem is that Stagefright is an over-privileged application with system access on some devices, which enables privileges similar to apps with root access. Stagefright is used to process a number of common media formats, and it’s implemented in native C++ code, making it simpler to exploit.
“On some devices, [Stagefright] has access to the system group, which is right next to root—very close to root—so it should be easy to get root from system,” Drake said. “And system runs a lot of stuff. You’d be able to monitor communicat
via threatpost.com
Chissà se e in che misura questa notizia è correlata a quelle recenti di leak di software spia...
In determinati casi dove il rischio è medio-alto (ad es. per te mentre ricopri il ruolo di parlamentare) usare un telefono-telefono (o "dumbphone") è l'unica strada. Durante le riunioni dovresti però assicurarti che i tuoi interlocutori abbiano lo smartphone spento e con la batteria staccata. In quanti ti asseconderanno? :)
Comunque la sicurezza è sempre una questione di trade-off.
Scritto da: Luca Sambucci | 28/07/2015 a 12:18
"only paranoids survive"
;-)
ma io sono mortale e mi accontento di sopravvivere solo un po' ;-)
Scritto da: Stefano Quintarelli | 28/07/2015 a 12:34
Luca, sai meglio di me che non basta: il firmware di un telefono-telefono, dal punto di vista architettonico e funzionale, e' lo stesso di quello di uno smartphone. Che dentro ci sia un rtos da 80k che a mala pena visualizza una icona a 2 colori (ie: chiaro e scuro) vicino al numero di moglie e amico, o Android Merendina 8.0 con proiettore olografico tattile incorporato da Samsung in esclusiva per i suoi clienti piu' artistici e bisognosi di sesso virtuale tra una riunione e un'altra, per un totale di 6Gb di ROM e 10 Kw/h di consumi (nota: e' un modello sperimentale che ho visto solo io qui in Asia, con batteria plutonica a carriola), al fine di non vedersi attivato un microfono galeotto, non cambia nulla.
Che io sappia, non esistono normative specifiche che forzano un fornitore a limitare il firmware chiuso alla sola porzione di livellamento dei segnali (che protegge la proprieta' intellettuale sull'HW); per poi passare l'hw cosi' sincronizzato e pronto all'uso, ad un processo di boot standard del sistema operativo utente - multimediale o a fosfori - usando una componente osservabile (ie: software aperto, quindi revisionabile, modificabile, e compilabile in proprio).
Per lo meno da quando VIA annuncio' i primi BIOS multimediali (es: player audio cd a laptop spento) tutta l'industria si e' mossa in tutt'altra direzione; quella indicata dai decreti anti-terrorismo; ed oggi, dopo cioe' 15 anni, con UEFI esiste (solo) l'esatto opposto: per garantire che tutto il processo di boot sia certificato dal generatore di numeri casuali integrato nel silicio, tutto il processo di boot e' sostanzialmente oscurato al proprietario del terminale, e la visione ne e' impedita agli addetti ai lavori privati; probabilmente anche alla polizia ordinaria. O ti fidi, o non ti fidi. E sui cellulari (ie: non UEFI ma U-Boot/RedBoot) e' uguale.
Anche producendosi un telefono fatto in casa con sbc industriali/giocattolo, avresti la garanzia sul microfono (ie: niente registrazioni galeotte nelle stanze) ma non quella sulla radio (ie: telefonate).
Ma al di la' di quello che accade DENTRO il computer, in locale e per i dati in transito (ie: telefonate), che comunque sono sempre state soggette al blob binario obbligatorio del consorzio GSM, non esiste nemmeno un LED in parallelo sui pin del microfono.
Quello si puo' aggiungere con modifica fatta in casa dopo l'acquisto; e anche il cicalino, cosi' non devi stare con gli occhi fissi sul telefono-telefono, mentre parli con le persone... che e' noia per te, e scortesia per loro.
Ma e' mai possibile che uno debba ricorrere a pezzi di nastro isolante nero-cantiere sulla cam, e gocce di silicone del vetraro che fuoriescono da un cellulare in titanio disegnato da Pininfarina, perdendo oltretutto la garanzia, dopo aver ACQUISTATO un oggetto?
O ancora: vedersi aggiornare il firmware da remoto, il giorno dopo aver pubblicato su social network, che la propria tastiera viene resettata (e probabilmente usata; non posso esserne certo, ma scompaiono testi scomodi) a piacimento da remoto, su un terminale nuovo di zecca?
Qualcuno, su questo blog, nel 2007, ha spinto brutalmente per incardinare l'intero processo di micropagamento elettronico (conditio sine qua economia digitale non e' possibile) sul sistema di sicurezza GSM - progetto gia' lanciato da Omnitel e abortito dopo l'acquisizione da parte di Vodaphone, senza che io riuscissi ad attivare il servizio per l'azienda che stavo avviando - mentre erano sempre piu' inquietanti i bollettini di sicurezza che riguardavano il gsm... dalle valigette per intercettarlo, disponibili per soli 50 mila dollari con consegna a Dubai, alla disabilitazione d'ufficio dell'A5/2 vista la disponibilita' di valigette, micro celle per mitm a 600 euro, e rainbow tables. Oggi hai Kevin Mitnick al Cebit 2015 che ridacchia mentre mostra alla folla come impersonare l'operatore, l'assistente personale, etc, usando gli sms.
Il tutto a discapito di un sistema radio parallelo, basato su reti ad-hoc, che in tanti abbiamo cercato di sostenere e produrre, con le unghie e con i denti; e che avrebbe garantito by design la protezione da questo tipo di attacchi distribuiti.
Cosi' oggi ci ritroviamo con le banche che scaricano sugli operatori telefonici l'onere della sicurezza - "Usa la app! Non l'OTP! Ti faccio sconto famiglia per 2 mesi, e poi mi riprendo il tutto con gli interessi industria dopo 5 mesi!" - gli operatori telefonici che (come e' normale che sia) non sono in grado di garantire alcunche', e non appena impieghi un sistema proprio di protezione sopra quello fornito dall'industria, fai scattare allarmi di livello militare.
A che gioco state a gioca' qua dentro? Compratevi PINO[1] piuttosto!
[1] https://www.lelo.com/it/pino
Scritto da: mfp | 29/07/2015 a 14:38
Stefano, ti monto io un jammer radio nel tuo cellulare da attivare quando vai in riunione, con tasto 'modalita' cacciabombardiere'... pero' ricordati di non metterlo in modalita' aereo quando sali sull'aereo... perche' dopo la modifica spegne anche le torri di controllo degli aereoporti.
Scritto da: mfp | 29/07/2015 a 14:47