Allarme rosso per Android. Circa 950 milioni di device in circolazione sarebbero infatti a rischio. A rivelarlo è Zimperium zLabs, società specializzata nella sicurezza, che all’inizio di quest’anno aveva già scoperto altri bug del sistema operativo di Google utilizzato nel mondo da 1,4 miliardi di persone. Le vulnerabilità, delle quali si conoscono pochi casi reali, espongono la maggior parte di smartphone e tablet ad attacchi e colpiscono la libreria Stagefright del sistema operativo. Zimperium zLabs aveva già scoperto in aprile questo tipo di vulnerabilità, ma solo ora si è accorta che il problema è molto più grande di quanto pensato all’inizio.

Il primo dei due bug può far tornare i dispositivi alla versione 1.0 di Android rilasciata nel 2008. Il secondo invece può servire per fare utilizzare ai device le ultime versioni del software dalla 5.0 in poi. Tra l’altro Google la prossima settimana prevede di rilasciare Android 6.0, Marshmallow. Rispetto alla precedente versione però ora i codici maligni operano in modo differente. Se prima la vulnerabilità veniva sfruttata grazie all’invio di Mms, questa volta il codice maligno parte con file Mp3 o Mp4 opportunamente modificati. “La vulnerabilità risiede nella lavorazione dei metadati all’interno dei file, in modo che solo l’anteprima del brano o del video potrebbe attivare il problema”, ha scritto sul proprio blog zLabs.

La società ha informato Google della nuova minaccia il 15 agosto. Da allora ci sono comunque voluti quasi due mesi per ottenere una patch che, per i Nexus, probabilmente sarà rilasciata il 5 ottobre. Diverso il discorso per gli altri produttori di smartphone Android come Samsung, Huawei, Sony e Lg. Google li ha avvisati il 10 settembre e ancora non è chiara la data nella quale saranno rilasciati gli aggiornamenti. Nel frattempo Zimperium ovviamente non ha fatto trapelare nulla riguardo il codice exploit delle vulnerabilità e, una volta che saranno rilasciate le patch da parte di Google e degli altri produttori, provvederà ad aggiornare anche Statefright Detector. Si tratta di una app disponibile gratuitamente su Google Play Store che permette di verificare se il proprio smartphone è vulnerabile. L’app effettua una scansione e mostra un elenco delle vulnerabilità senza però dare la possibilità di eliminarle.