Sicurezza

Android, vulnerabilità zero-day mette a rischio il Pixel e altri 14 modelli

Nelle scorse ore i ricercatori di Google Project Zero hanno scoperto una vulnerabilità di tipo zero-day in Android che, se sfruttata, può dare il pieno controllo dello smartphone, o almeno di alcuni modelli. Al momento i ricercatori ne hanno individuati quattro della famiglia Google Pixel (ma non i Pixel 3 di ultima generazione), oltre a diversi Samsung, Motorola, Oppo, Huawei e Xiaomi, ma tutti fortunatamente non recentissimi.

CVE-2019-2215, questo il nome della vulnerabilità, può essere sfruttata in due modi, tramite installazione diretta di un pacchetto contenente software malevolo o attraverso l’uso di siti web malevoli. In quest’ultimo caso però è necessario sfruttare anche una falla del browser Chrome, che consentirebbe l’esecuzione del codice.

Il risultato finale in ogni caso è lo stesso: l’ottenimento dei più elevati privilegi di accesso al dispositivo. Purtroppo, a detta dei ricercatori, questa vulnerabilità sarebbe già stata sfruttata in diverse occasioni anche se il suo impiego non dovrebbe essere così diffuso. La vulnerabilità infatti sarebbe stata sfruttata (e ceduta poi a terzi) dall’israeliana NSO, nota per aver già in passato ceduto vulnerabilità di Android e iOS a vari governi interessati a realizzare software di spionaggio.

La cosa grave è che questa vulnerabilità è già nota da tempo, essendo parte del kernel di Linux, e corretta all’inizio dello scorso anno con il rilascio del kernel 4.14. Google l’ha poi di fatto integrata nelle versioni 3.18, 4.4 e 4.9 del kernel Android, ma stranamente non l’ha distribuita tra gli aggiornamenti di sicurezza per i sistemi precedenti, motivo per cui alcuni smartphone più datati risulterebbero essere ancora vulnerabili. Di seguito riportiamo la lista degli smartphone vulnerabili fino ad ora noti:

  • Pixel 1
  • Pixel 1 XL
  • Pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Smartphone LG con Android Oreo
  • Samsung Galaxy S7
  • Samsung Galaxy S8
  • Samsung Galaxy S9

Google ha già annunciato una patch, a ottobre, per tutti i pixel coinvolti ed ha provveduto a inoltrare il codice agli altri produttori, al fine di consentirgli lo sviluppo dei necessari aggiornamenti.