I laboratori di Trend Micro hanno scoperto una vulnerabilità nelle librerie SDK, anche chiamate “libupnp”, che mette a rischio app e device
I laboratori Trend Micro hanno scoperto una vulnerabilità vecchia di tre anni che mette a rischio oltre 6 milioni di dispositivi tra smartphone, router e smart TV. Delle 547 app vulnerabili, 326 sono disponibili sul Google Play Store. Tra queste anche alcune app nuove e di alto profilo, come Netflix e Tencent QQMusic.
La vulnerabilità risiede in una library chiamata “libupnp” e che fa parte del Portable Sdk per i dispositivi UPnP, cioè quelli che utilizzano il protocollo di rete Universal Plug and Play. La libreria in questione viene impiegata per inserire nelle app funzioni di riproduzione multimediale (Dlna) e di connettività con altri dispositivi tramite Internet Gateway Device Protocol. Le app di uno smartphone ad esempio utilizzano queste funzionalità per aprire file media o connettersi ad altri device.
Le vulnerabilità risiedono in un componente dell’Skd (software development kit) per il quale già nel 2012 è stato rilasciato un correttivo, ma le oltre 500 app incriminate utilizzano ancora versioni del kit di sviluppo vecchie di più di tre anni. Molte applicazioni usando ancora la vecchia versione dell’SDK. Si tratta di app molto popolari che mettono a rischio milioni di utilizzatori, non solo da smartphone ma anche da router e smart TV (i dispositivi a rischio sarebbero 6,1 milioni).
Fra queste spiccano due applicazioni molto diffuse: QQMusic, creata da Tencent e utilizzata da 100 milioni di persone nella sola Cina, e Linphone Sdk, un kit che può essere utilizzato per incorporare il VoIP dentro un’app. L’applicazione Netflix, infine, un applicazione molto popolare su Android e la vulnerabilità si manifesta quando l’applicazione Android è utilizzata per controllare Netflix su un altro dispositivo, come ad esempio una PlayStation 3.
