Bug Linux in Android, il rischio è basso

Perception Point ha recentemente scoperto una grave vulnerabilità nel kernel Linux che potrebbe essere sfruttata per ottenere accesso root su PC, server e il 66% dei dispositivi Android. Adrian Ludwig, ingegnere del team Android Security, ha invece affermato che la percentuale indicata dalla software house israeliana è sovrastimata. Tuttavia, Google prontamente rilasciato una patch che chiude il bug.

La vulnerabilità è presente nel servizio keyring di Linux che permette alle applicazioni di memorizzare le chiavi crittografiche, i token di autenticazione e altri dati sensibili all’interno del kernel. Un malintenzionato potrebbe sfruttare il bug per guadagnare l’accesso root e quindi il controllo completo del sistema operativo. I ricercatori di Perception Point hanno calcolato la percentuale del 66% considerando che tutti i dispositivi con Android 4.4 KitKat (e versioni superiori) usano il kernel 3.8. In realtà, molti produttori non aggiornano il kernel quando rilasciano un nuovo firmware.

Adrian Ludwig ha infatti dichiarato che il numero di dispositivi è significativamente inferiore a quello stimato da Perception Point. Su molti smartphone e tablet con Android 4.4 KitKat è presente una versione del kernel precedente alla 3.8. I dispositivi che seguono Android 5.0 Lollipop e versioni superiori sono protetti dalla policy SELinux che impedisce alle app di terze parti di accedere al codice del kernel. Nessun Nexus è vulnerabile.

Google ha comunque sviluppato un update, fornito a tutti i produttori, che può essere installato solo sui dispositivi con “security patch level” del 1 marzo 2016 o successivo. Il patch level è una stringa, visualizzata nelle impostazioni (sotto la voce Info sul telefono), che indica la data dell’ultimo aggiornamento di sicurezza.