In questi giorni sta venendo rilasciato un importante patch di sicurezza da parte del team Samsung. La motivazione risiede in una falla di cui si è iniziato a parlare più concretamente soltanto in questi giorni ma che in realtà esiste dal 2014. Si è risaliti a questa data perché i ricercatori che ne hanno trattato hanno verificato che si tratta di un problema legato al formato d’immagine Qmage. Questo formato è stato introdotto dall’azienda coreana proprio dal 2014 e risiede in tutti gli smartphone prodotti finora.
A parlarne è stato Mateusz Jurczyk, ricercatore del gruppo Google Project Zero, incaricato proprio nella ricerca di bug. L’aspetto più grave di questa falla di sicurezza è che si tratta di uno scenario cosiddetto “zero-click“, ovvero che non necessita di interazione da parte dell’utente. Questo perché Android prende tutte le immagini ricevute dal dispositivo e le invia alla libreria Skia, per esempio per generare le thumbnail di anteprima. Per esempio, inviando ripetuti MMS tramite l’app Messaggi di Samsung, è possibile individuare la posizione della libreria nella memoria del telefono.
Così facendo si finisce per bypassare la protezione ASLR (Address Space Layout Randomization) di Android, permettendo di inviare un ultimo MMS, intrufolarsi nella libreria ed iniettare un codice malevolo. Secondo i test eseguiti da Mateusz, bastano circa 50/300 MMS per fare breccia nel software, con un tempo medio di circa 100 minuti. Potreste pensare che l’invio di così tanti MMS allarmi l’utente colpito, ma sempre Mateusz afferma che c’è anche un modo per disattivare la notifica.
Il problema è stato trovato dai ricercatori lo scorso febbraio, a Samsung. Da allora l’azienda ha lavorato in merito e con le ultime patch di maggio sembrerebbe aver risolto tale problematica. Per il momento sono state rilasciate soltanto per gli ultimi top di gamma ma ci auguriamo che l’azienda le renda disponibili per tutti i telefoni coinvolti.
[su_google]La PlayStation 5 è stata lanciata il 19 novembre 2020 in Italia, una settimana dopo…
Dopo 16 anni dal suo arrivo sul mercato, iPhone 2G torna a sconvolgere la vita…
Con l'acquisizione di Activision oramai andata in porto, Microsoft e Sony hanno finalmente firmato uno…
L'operatore virtuale di Vodafone torna alla carica e questa volta prova a tentare i clienti…
Google ha annunciato oggi l'arrivo di Bard anche in Europa e in Italia, dopo la…
L'accesso a Internet è diventato fondamentale nella nostra società sempre più digitale. Per garantire una…