skip to main | skip to sidebar
13 commenti

Un miliardo di telefonini Android infettabili con un messaggino? OK, PANICO. Ma non troppo

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/08/01.

Angoscia in Rete per la notizia che una grave falla di sicurezza riguarda un miliardo di telefonini Android: per infettarli e/o rubarne i dati è sufficiente che ricevano un MMS appositamente confezionato. La falla, scoperta dalla società di sicurezza informatica Zimperium, è stata battezzata Stagefright (dal nome della libreria software di Android coinvolta) e colpisce tutte le versioni di Android dalla 2.2 in avanti.

Niente panico: nella maggior parte dei casi è sufficiente disabilitare la ricezione automatica degli MMS in Google Hangouts e nelle altre applicazioni e imparare a non cliccare sui link agli MMS. Per Hangouts basta andare nelle Impostazioni e disabilitare Recupera automaticamente MMS, come mostrato qui accanto. Bisogna inoltre andare nell'app Messaggi, scegliere Impostazioni e disattivare Recupero automatico nella sezione dedicata agli MMS.

Google ha già corretto la falla, ma spetta ora ai produttori di telefonini distribuire l'aggiornamento correttivo predisposto da Google, e qui sta il problema: se il vostro telefonino non è recente, probabilmente non verrà mai aggiornato e resterà perennemente vulnerabile. Va detto che finora non ci sono segnalazioni dello sfruttamento della falla da parte di criminali informatici.

La lentissima o inesistente disseminazione degli aggiornamenti, priva della gestione diretta e centrale che hanno per esempio Microsoft o Apple, è da sempre uno degli aspetti più criticabili di Android, e Stagefright ne mette bene in luce i limiti. Gli unici telefonini Android che ricevono gli aggiornamenti direttamente da Google sono i Nexus di Google; tutte le altre marche decidono autonomamente se, come e quando creare e distribuire gli aggiornamenti.

Certo, se siete avventurosi potete provare a installare un Android alternativo, come CyanogenMod, per il quale c'è già la correzione della falla. Per la maggior parte degli utenti la soluzione più fattibile, ma anche quella più consumista, è invece acquistare uno smartphone Android più recente.


Fonti: Zimperium, EFF, Androidcentral, Twilio.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (13)
Paolo, non dici però quali sono i telefonini Android recenti che hanno la falla tappata. Oltre ai Nexus (quali?) citati, quali? Forse solo quelli con Android 4.5.x? Quanti sono? Pochissimi, che io sappia. Detto, anzi scritto, da uno che, per i cellulari, vede solo Android.
Eh... magari ci fosse la cyanogenmod per il mio alcatel... Purtroppo solo i modelli famosi sono supportati :(
Quando si spaccherà credo che prenderò un nexus anche per il fatto che sono direttamente supportati
@Roberto:
la falla è attiva fino a 5.1.1, cioè tutti.
quelli comprati ieri probabilmente avranno una toppa in breve.
quelli non più supportati dai produttori resteranno bacati.


PS: Paolo, siamo onesti. il sistema di commenti di blogspot (ed anche blogspot in sè...) fa cagarissimo. perchè non traslochi su qualcosa di più... recente?... ;-)
mmmh.. Io ho un Nexus 5.. con su 5.1.1, ma non mi risulta che google abbia già fatto un aggiornamento per sto problema.. !
In realtà basterebbe, tramite una recovery custom o i diritti di root, sostituire il file della libreria con una build della nuova versione, compilata per il dispositivo.

non è obbligatorio aspettare che sia la casa a rilasciare l'aggiornamento (possibilità che con apple non esiste).
Roberto,

Paolo, non dici però quali sono i telefonini Android recenti che hanno la falla tappata.

Non lo dico semplicemente perché non lo so. Se qualcuno ha una lista confermata, la pubblico volentieri.
F,

perchè non traslochi su qualcosa di più... recente?

Perché moltissima gente fa questa domanda, ma pochissima è disposta ad adoperarsi per migrare altrove oltre 5000 articoli e 200.000 commenti. Ti sei appena offerto volontario? :-)
Perché moltissima gente fa questa domanda, ma pochissima è disposta ad adoperarsi per migrare altrove oltre 5000 articoli e 200.000 commenti. Ti sei appena offerto volontario? :-)

Non è che ci voglia tanto eh?
Basta mettere online le password amministrative del blog. Poi, chi vuole, si connette e ti trasferisce un po' di articoli, finché nono si stanca, diciamo. Poi si connette un altro e trasferisce un po' di commenti. In quattro e quattr'otto ti ritrovi il blog trasferito.

E NON MI TROVARE SCUSE RIGUARDO ALLA SICUREZZA! C'è addirittura un fucile che si comanda col WIFI e password non modificabile. Se è sicuro fare così con un'arma figurati che rischio si corre mettere online le proprie password.
Se ti serve un volontario io sono disponibilissimo a farlo nel tempo libero (il che vuol dire qualcosina la sera e nei sabati e nelle domeniche). Non chiedermi però di scegliere la piattaforma di destinazione, che per me sono pari :) Domanda sciocchissima. Non basta per fare il trasferimento fare un dump del database e reimportarlo di la ?
Rigongia,

Non basta per fare il trasferimento fare un dump del database e reimportarlo di la ?

Se fai questo genere di domanda, sei l'ultima persona alla quale affidare la migrazione :-)
@Paolo
Premessa : io sono particolarmente permaloso e tendo a male interpretare. Detto questo, volevo capire se "questo genere di domanda" sottointende solo che non ne capisco una ceppa di blog & affini o di informatica in generale
Rigongia,

ti ringrazio della disponibilità, ma purtroppo devo confermare la tua interpretazione: se pensi che sia così facile migrare, non ne sai abbastanza da affidarti una migrazione.

Del resto, se fosse solo una questione di fare un dump e reimportare, non credi che l'avrei già fatto da tempo? :-)
Ieri dal Blog di gugglee
http://officialandroid.blogspot.it/2015/08/an-update-to-nexus-devices.html