Android è meno sicuro di quanto crede Google, parola di Google

I ricercatori di Google Project Zero, il team che si occupa di scovare le vulnerabilità più gravi su internet e nei vari software prima che queste diventino di dominio pubblico, ha criticato quanto detto da Google stesso in merito alla pericolosità di Stagefright.

Dopo lo "scandalo" in seguito al bug scoperto, in questa ormai nota libreria, da parte dei ricercatori di Zimperium, i PR di BigG avevano predicato tranquillità, alla luce dell'utilizzo di un sistema di mitigazione dei possibili exploit, giunto a maturità già in Android 4.1, e noto come address space layout randomization.

L'idea alla base di questo metodo è quella di inibire la pericolosità del codice remoto, caricando eventuali script scaricati in a una posizione di memoria diversa ad ogni riavvio; in questo modo l'attaccante non saprà dove trovare il codice malevolo ed il tentativo di exploit si risolverà in un semplice crash.

Almeno in teoria.

In pratica l'implementazione dell'ASLR non è così infallibile, anzitutto perché utilizza solo 8-bit, il che significa 256 indirizzi di memoria diversi possibile; secondariamente, in relazione nello specifico a Stagefright, il processo del mediaserver che utilizza la libreria di Stagefright si ricarica dopo ogni crash, quindi  lo spazio di indirizzi viene ri-randomizzato ad ogni tentativo di exploit.

LEGGI ANCHE: Il bug di Lollipop che permette di sbloccare i vostri Android

La morale è che, dalle prove dei ricercatori di Project Zero, nel migliore dei casi sono bastati 30 secondi per trovare l'indirizzo giusto e far agire l'exploit (nel peggiore ci sono volute ore): un tempo troppo basso per essere considerato sicuro, dato che non è difficile, in uno scenario realistico, convincere ad esempio un utente a rimanere su una certa pagina per più di 30 secondi, mentre il brute force avviene in background.

A rincarare la dose arriva poi Joshua Drake, il ricercatore di Zimperium che per primo ha scoperto la falla, il quale afferma di avere già pronto da qualche settimana un nuovo exploit, non ancora reso pubblico, contro il quale ASLR è ancora più inefficace.

[sentence_sx]Il bug di Stagefright non è risolto da ASLR, solo arginato in parte[/sentence_sx]

Il punto di questa analisi non è però dimostrare l'inefficacia dell'ASLR, che al contrario, specie quando implementato con una maggiore entropia, è anche molto utile; il punto è che si tratta comunque di un metodo a monte, che non risolve in alcun modo il bug originale, ma cerca di arginarlo soltanto. Sarebbe come dire che siccome avete le cinture di sicurezza allora potete viaggiare a tavoletta. Può insomma costituire al più un rapido metodo di patching, a cui poi deve seguire il vero bug fix.

Google si è impegnato per rilasciare aggiornamenti di sicurezza mensili, e non possiamo fare altro che sperare che questo impegno prosegua e si concretizzi nel miglior modo possibile.