Bug in Linux mette a rischio i dispositivi Android

I ricercatori di Perception Point hanno scoperto una grave vulnerabilità zero-day nel kernel Linux che potrebbe consentire l’accesso root a milioni di computer basati sul noto sistema operativo open source. Il bug è presente anche in Android (derivato da Linux), quindi il problema di sicurezza può avere implicazioni anche per smartphone e tablet che eseguono le ultime versioni della piattaforma Google (da 4.4 KitKat in poi), ovvero circa il 66% del numero totale di dispositivi.

La vulnerabilità, introdotta con la versione 3.8 del kernel Linux rilasciata all’inizio del 2013, è stata individuata nel keyring del sistema operativo che permette alle applicazioni di memorizzare le chiavi crittografiche, i token di autenticazione e altri dati sensibili all’interno del kernel. Il bug può essere sfruttato in diversi modi, mediante l’escalation dei privilegi da utente locale a root. I ricercatori di Perception Point hanno sviluppato un exploit proof-of-concept che sostituisce l’oggetto keyring in memoria con codice arbitrario.

Su Android, la vulnerabilità potrebbe consentire ad app infette di eludere la sandbox e accedere alle funzioni del sistema operativo. Fortunatamente, al momento non risultano exploit in circolazione, ma l’azienda israeliana consiglia caldamente di distribuire una patch al più presto.

Alcune software house, tra cui Red Hat, hanno già rilasciato un update di sicurezza e altre lo faranno nelle prossime ore, quindi tutte le distribuzioni Linux verranno presto aggiornate. La stessa cosa non si può dire per Android. Quasi certamente, nessun produttore rilascerà la patch per smartphone e tablet che hanno più di due anni.