ROMA. Quasi un miliardo di dispositivi Android a rischio per Mms

È potenzialmente la nuova frontiera dei pericoli informatici sullo smartphone, quello che gli esperti di settore hanno definito "il Santo Gral" dei cyberattacchi, ovvero: violare dispositivi senza che la vittima faccia nulla, né un clic, né il download di un programma maligno, ma semplicemente inviando un messaggio al telefono da "infettare". È la nuova minaccia scoperta da una società di ricerca che sfrutta una vulnerabilità di Android e che mette a rischio quasi un miliardo di dispositivi.

La falla nel sistema operativo mobile di Google è stata scoperta da un esperto della società di sicurezza informatica Zimperium, Joshua Drake, che la illustrerà nel dettaglio fra pochi giorni alla conferenza Black Hat di Las Vegas. La vulnerabilità è molto grave, anticipa Drake sul blog aziendale, perché fornisce agli hacker molti strumenti per violare dispositivi e fra questi il più grave è quello di riuscirci con l'invio di un semplice messaggio multimediale (Mms). Ai criminali non serve nient'altro che il numero di telefono delle vittime, facilmente reperibile. La minaccia è stata già ribattezzata l"Heartbleed" (la falla che l'anno scorso mise espose milioni di pc nel mondo) degli smartphone. L'obiettivo per attacchi di questo tipo, scrive l'esperto, può essere chiunque: dai capi di governo agli ufficiali di Stato, dai top manager ai responsabili informatici di aziende. Ma anche semplici utenti, le cui informazioni sensibili - ad esempio quelle mediche - sono sempre più nel mirino dei cyber-criminali.

La società Redspin ha certificato che dal 2009 a fine 2014 sono stati violati quasi 41 milioni di dati sanitari.

"Se 'Heartbleed' dall'era dei pc fa venire i brividi, questo è molto peggio", rimarca Drake. La vulnerabilità, spiega l'esperto, si chiama "Stagefright" e permette agli hacker - con un banale Mms - di entrare in possesso dei dati che l'utente custodisce sul dispositivo e di attivarne innumerevoli funzioni, anche il microfono e la registrazione audio. La minaccia è subdola perché la vittima non solo non deve cliccare da nessuna parte, ma non deve nemmeno aprire o visualizzare il messaggio: è sufficiente il solo invio per infettare lo smartphone. L'Mms può essere rimosso dall'hacker prima ancora che il destinatario ne veda la notifica.

La falla, aggiunge Drake, riguarda il 95% dei dispositivi Android (smartphone e tablet), circa 950 milioni. Al momento non ci sono prove che sia stata concretamente sfruttata, ma il bacino di utenti potenzialmente a rischio non è da sottovalutare considerando che Android di Google è il sistema operativo "mobile" installato su oltre l'80% degli smartphone in circolazione nel mondo. "Stagefright" riguarda tutte le versioni di Android dalla 2.2 in poi.

Prima di essere divulgata, la minaccia è stata segnalata a Google che si è attivata e ha reso disponibili delle "patch" che però produttori e operatori partner devono implementare sui vari modelli che supportano Android. Potrebbe volerci del tempo prima che tutti vengano adeguatamente aggiornati.