(di Stefania Passarella) (ANSA) – ROMA – È potenzialmente la nuova frontiera dei pericoli informatici sullo smartphone, quello che gli esperti di settore hanno definito “il Santo Gral” dei cyberattacchi, ovvero: violare dispositivi senza che la vittima faccia nulla, né un clic, né il download di un programma maligno, ma semplicemente inviando un messaggio al telefono da “infettare”. È la nuova minaccia scoperta da una società di ricerca che sfrutta una vulnerabilità di Android e che mette a rischio quasi un miliardo di dispositivi. La falla nel sistema operativo mobile di Google è stata scoperta da un esperto della società di sicurezza informatica Zimperium, Joshua Drake, che la illustrerà nel dettaglio fra pochi giorni alla conferenza Black Hat di Las Vegas. La vulnerabilità è molto grave, anticipa Drake sul blog aziendale, perché fornisce agli hacker molti strumenti per violare dispositivi e fra questi il più grave è quello di riuscirci con l’invio di un semplice messaggio multimediale (Mms).
Ai criminali non serve nient’altro che il numero di telefono delle vittime, facilmente reperibile. La minaccia è stata già ribattezzata l”Heartbleed” (la falla che l’anno scorso mise espose milioni di pc nel mondo) degli smartphone. L’obiettivo per attacchi di questo tipo, scrive l’esperto, può essere chiunque: dai capi di governo agli ufficiali di Stato, dai top manager ai responsabili informatici di aziende. Ma anche semplici utenti, le cui informazioni sensibili – ad esempio quelle mediche – sono sempre più nel mirino dei cyber-criminali. La società Redspin ha certificato che dal 2009 a fine 2014 sono stati violati quasi 41 milioni di dati sanitari. “Se ‘Heartbleed’ dall’era dei pc fa venire i brividi, questo è molto peggio”, rimarca Drake. La vulnerabilità, spiega l’esperto, si chiama “Stagefright” e permette agli hacker – con un banale Mms – di entrare in possesso dei dati che l’utente custodisce sul dispositivo e di attivarne innumerevoli funzioni, anche il microfono e la registrazione audio.
La minaccia è subdola perché la vittima non solo non deve cliccare da nessuna parte, ma non deve nemmeno aprire o visualizzare il messaggio: è sufficiente il solo invio per infettare lo smartphone. L’Mms può essere rimosso dall’hacker prima ancora che il destinatario ne veda la notifica. La falla, aggiunge Drake, riguarda il 95% dei dispositivi Android (smartphone e tablet), circa 950 milioni. Al momento non ci sono prove che sia stata concretamente sfruttata, ma il bacino di utenti potenzialmente a rischio non è da sottovalutare considerando che Android di Google è il sistema operativo “mobile” installato su oltre l’80% degli smartphone in circolazione nel mondo. “Stagefright” riguarda tutte le versioni di Android dalla 2.2 in poi. Prima di essere divulgata, la minaccia è stata segnalata a Google che si è attivata e ha reso disponibili delle “patch” che però produttori e operatori partner devono implementare sui vari modelli che supportano Android. Potrebbe volerci del tempo prima che tutti vengano adeguatamente aggiornati.
“Questa vulnerabilità è stata identificata in ambiente di laboratorio sui vecchi dispositivi Android e, per quanto ne sappiamo, nessuno è stato colpito dal virus. Non appena ne siamo venuti a conoscenza, ci siamo subito attivati per inviare ai nostri partner un bug fix per proteggere gli utenti”. È la precisazione di un portavoce Google in merito alla falla in Android individuata dalla società di sicurezza Zimperium. La vulnerabilità, nota come “Stagefright”, mette potenzialmente a rischio di intrusioni quasi un miliardo di dispositivi mobili col sistema operativo Android con la ricezione di un messaggio multimediale (Mms)