QR code per la pagina originale

Google scopre grave vulnerabilità in Android

Google Project Zero ha individuato una vulnerabilità zero-day nel kernel di Android che permette di ottenere il controllo completo del dispositivo.

,

Il team del Google Project Zero ha scoperto una vulnerabilità zero-day nel kernel di Android che potrebbe essere sfruttata per guadagnare il controllo completo del dispositivo attraverso l’accesso root. L’azienda di Mountain View ha sviluppato una patch che verrà rilasciata tra qualche giorno. Il famigerato NSO Group avrebbe già usato o venduto un exploit per colpire specifici target.

La vulnerabilità “use-after-free” apre le porte ad un “kernel privilege escalation” che consente l’accesso completo al dispositivo. Può essere sfruttata quando la vittima installa un’app infetta oppure tramite un attacco online in combinazione con un secondo exploit che sfrutta una vulnerabilità nel codice usato da Chrome per il rendering dei contenuti. Il bug era già stato chiuso nel kernel 4.14 di Linux e nei kernel 3.18, 4.4 e 4.9 di Android, ma inspiegabilmente la patch non è stata inclusa negli ultimi bollettini di sicurezza.

Google ha pubblicato un elenco (parziale) di smartphone vulnerabili, sui quali è installato Android 8.x Oreo o versioni successive. Oltre ai Pixel di prima e seconda generazione ci sono Samsung Galaxy S7/S8/S9, Huawei P20, Redmi 5A e Note 5, Xiaomi A1, Oppo A3, Motorola Moto Z3 e tutti i modelli LG con Oreo. I Pixel riceveranno la patch nei prossimi giorni, mentre non ci sono al momento informazioni sugli altri dispositivi.

Secondo il team Project Zero, l’exploit attualmente in circolazione è opera del noto NSO Group, azienda israeliana che vende strumenti di sorveglianza a vari governi. Un portavoce ha tuttavia negato di aver diffuso l’exploit. Solitamente Google pubblica i dettagli sulle vulnerabilità 90 giorni dopo la scoperta. In questo caso la scadenza è stata ridotta a 7 giorni perché l’exploit è “in the wild”.

La buona notizia è che la vulnerabilità non è pericolosa come altre zero-day del passato, dato che un eventuale attacco non può essere effettuato senza l’interazione dell’utente. È meglio quindi evitare l’installazione di app da fonti sconosciute ed eventualmente usare un browser diverso da Chrome finché non verrà distribuita la patch.