Cerca nel blog

2015/08/01

Un miliardo di telefonini Android infettabili con un messaggino? OK, PANICO. Ma non troppo

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/08/01.

Angoscia in Rete per la notizia che una grave falla di sicurezza riguarda un miliardo di telefonini Android: per infettarli e/o rubarne i dati è sufficiente che ricevano un MMS appositamente confezionato. La falla, scoperta dalla società di sicurezza informatica Zimperium, è stata battezzata Stagefright (dal nome della libreria software di Android coinvolta) e colpisce tutte le versioni di Android dalla 2.2 in avanti.

Niente panico: nella maggior parte dei casi è sufficiente disabilitare la ricezione automatica degli MMS in Google Hangouts e nelle altre applicazioni e imparare a non cliccare sui link agli MMS. Per Hangouts basta andare nelle Impostazioni e disabilitare Recupera automaticamente MMS, come mostrato qui accanto. Bisogna inoltre andare nell'app Messaggi, scegliere Impostazioni e disattivare Recupero automatico nella sezione dedicata agli MMS.

Google ha già corretto la falla, ma spetta ora ai produttori di telefonini distribuire l'aggiornamento correttivo predisposto da Google, e qui sta il problema: se il vostro telefonino non è recente, probabilmente non verrà mai aggiornato e resterà perennemente vulnerabile. Va detto che finora non ci sono segnalazioni dello sfruttamento della falla da parte di criminali informatici.

La lentissima o inesistente disseminazione degli aggiornamenti, priva della gestione diretta e centrale che hanno per esempio Microsoft o Apple, è da sempre uno degli aspetti più criticabili di Android, e Stagefright ne mette bene in luce i limiti. Gli unici telefonini Android che ricevono gli aggiornamenti direttamente da Google sono i Nexus di Google; tutte le altre marche decidono autonomamente se, come e quando creare e distribuire gli aggiornamenti.

Certo, se siete avventurosi potete provare a installare un Android alternativo, come CyanogenMod, per il quale c'è già la correzione della falla. Per la maggior parte degli utenti la soluzione più fattibile, ma anche quella più consumista, è invece acquistare uno smartphone Android più recente.


Fonti: Zimperium, EFF, Androidcentral, Twilio.

13 commenti:

Roberto ha detto...

Paolo, non dici però quali sono i telefonini Android recenti che hanno la falla tappata. Oltre ai Nexus (quali?) citati, quali? Forse solo quelli con Android 4.5.x? Quanti sono? Pochissimi, che io sappia. Detto, anzi scritto, da uno che, per i cellulari, vede solo Android.

Verzasoft ha detto...

Eh... magari ci fosse la cyanogenmod per il mio alcatel... Purtroppo solo i modelli famosi sono supportati :(
Quando si spaccherà credo che prenderò un nexus anche per il fatto che sono direttamente supportati

F ha detto...

@Roberto:
la falla è attiva fino a 5.1.1, cioè tutti.
quelli comprati ieri probabilmente avranno una toppa in breve.
quelli non più supportati dai produttori resteranno bacati.


PS: Paolo, siamo onesti. il sistema di commenti di blogspot (ed anche blogspot in sè...) fa cagarissimo. perchè non traslochi su qualcosa di più... recente?... ;-)

MacLo ha detto...

mmmh.. Io ho un Nexus 5.. con su 5.1.1, ma non mi risulta che google abbia già fatto un aggiornamento per sto problema.. !

Luciano Cipria ha detto...

In realtà basterebbe, tramite una recovery custom o i diritti di root, sostituire il file della libreria con una build della nuova versione, compilata per il dispositivo.

non è obbligatorio aspettare che sia la casa a rilasciare l'aggiornamento (possibilità che con apple non esiste).

Paolo Attivissimo ha detto...

Roberto,

Paolo, non dici però quali sono i telefonini Android recenti che hanno la falla tappata.

Non lo dico semplicemente perché non lo so. Se qualcuno ha una lista confermata, la pubblico volentieri.

Paolo Attivissimo ha detto...

F,

perchè non traslochi su qualcosa di più... recente?

Perché moltissima gente fa questa domanda, ma pochissima è disposta ad adoperarsi per migrare altrove oltre 5000 articoli e 200.000 commenti. Ti sei appena offerto volontario? :-)

Guastulfo (Giuseppe) ha detto...

Perché moltissima gente fa questa domanda, ma pochissima è disposta ad adoperarsi per migrare altrove oltre 5000 articoli e 200.000 commenti. Ti sei appena offerto volontario? :-)

Non è che ci voglia tanto eh?
Basta mettere online le password amministrative del blog. Poi, chi vuole, si connette e ti trasferisce un po' di articoli, finché nono si stanca, diciamo. Poi si connette un altro e trasferisce un po' di commenti. In quattro e quattr'otto ti ritrovi il blog trasferito.

E NON MI TROVARE SCUSE RIGUARDO ALLA SICUREZZA! C'è addirittura un fucile che si comanda col WIFI e password non modificabile. Se è sicuro fare così con un'arma figurati che rischio si corre mettere online le proprie password.

Rigongia ha detto...

Se ti serve un volontario io sono disponibilissimo a farlo nel tempo libero (il che vuol dire qualcosina la sera e nei sabati e nelle domeniche). Non chiedermi però di scegliere la piattaforma di destinazione, che per me sono pari :) Domanda sciocchissima. Non basta per fare il trasferimento fare un dump del database e reimportarlo di la ?

Paolo Attivissimo ha detto...

Rigongia,

Non basta per fare il trasferimento fare un dump del database e reimportarlo di la ?

Se fai questo genere di domanda, sei l'ultima persona alla quale affidare la migrazione :-)

Rigongia ha detto...

@Paolo
Premessa : io sono particolarmente permaloso e tendo a male interpretare. Detto questo, volevo capire se "questo genere di domanda" sottointende solo che non ne capisco una ceppa di blog & affini o di informatica in generale

Paolo Attivissimo ha detto...

Rigongia,

ti ringrazio della disponibilità, ma purtroppo devo confermare la tua interpretazione: se pensi che sia così facile migrare, non ne sai abbastanza da affidarti una migrazione.

Del resto, se fosse solo una questione di fare un dump e reimportare, non credi che l'avrei già fatto da tempo? :-)

MacLo ha detto...

Ieri dal Blog di gugglee
http://officialandroid.blogspot.it/2015/08/an-update-to-nexus-devices.html