Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SICUREZZA MOBILE

Aggiornamenti di sicurezza Android aprile 2019, corrette 88 vulnerabilità: ecco come installare le patch

L’Android Security Bulletin di aprile contiene i dettagli di 88 nuove vulnerabilità: due sono considerate critiche e permettono ad un attaccante di eseguire codice dannoso sul dispositivo target quando la vittima apre un messaggio o un video creati ad hoc. Ecco come mettere in sicurezza il proprio dispositivo Android

02 Apr 2019

Paolo Tarsitano


Google ha appena rilasciato l’edizione di aprile dei suoi aggiornamenti mensili di sicurezza per il sistema operativo mobile Android, comprese le correzioni per due vulnerabilità valutate come critiche (CVE-2019-2027 e CVE-2019-2028) che consentono l’esecuzione da remoto di codice arbitrario (RCE) nei dispositivi mobile sui quali è in esecuzione l’OS del robotino verde e per altre nove vulnerabilità di gravità elevata (EoP) che potrebbero essere sfruttate per il furto di informazioni riservate.

Anche in questo caso, come già successo in passato in occasione del rilascio del bollettino di sicurezza di marzo, le due vulnerabilità critiche riguardano il modulo Media Framework del sistema operativo e potrebbero consentire ad un eventuale attaccante di prendere il controllo da remoto di un dispositivo mobile acquisendo i privilegi di root dopo aver convinto la vittima ad aprire un messaggio o un video creati ad hoc.

L’aggiornamento, come sempre, è suddiviso in due livelli di patch progressivi e risolve in totale ben 88 vulnerabilità in diversi componenti di sistema, di cui 10 critiche (comprese le due già citate prima) e altre 78 di gravità elevata.

Come aggiornare il proprio dispositivo Android

Tutte le patch di sicurezza Android sono già state rese disponibili da Google ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza e sono state rilasciate nel repository Android Open Source Project (AOSP).

Al momento non si hanno notizie circa uno sfruttamento di queste vulnerabilità in attacchi reali.

In generale, però, tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.

Alcuni dispositivi più “sfortunati”, invece, soprattutto i modelli più economici e meno aggiornati, potrebbero non vedere mai gli aggiornamenti.

In questo caso, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.

Aggiornamenti Android: i dettagli del primo security patch level

Con il primo pacchetto di patch, identificato come 2019-04-01 security patch level, vengono corrette le seguenti 11 vulnerabilità.

La prima interessa il modulo Framework (che funge da strato intermedio tra il sistema operativo e il software che lo utilizza) e potrebbe consentire ad un aggressore locale di ottenere permessi aggiuntivi con l’interazione dell’utente, spingendolo cioè ad eseguire operazioni che concedano privilegi elevati all’attaccante:

Ci sono poi le 2 vulnerabilità critiche di cui parlavamo prima che interessano il modulo Media Framework e che potrebbero consentire a un attaccante remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2019-2027 (Critica, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
  • CVE-2019-2028 (Critica, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)

Infine, le ultime 8 vulnerabilità del primo security patch level interessano il modulo System e la più grave potrebbe consentire ad un’applicazione dannosa locale di eseguire codice arbitrario nell’ambito di un processo privilegiato:

  • CVE-2019-2030 (Elevata, per la versione 9 di Android)
  • CVE-2019-2031 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
  • CVE-2019-2033 (Elevata, per la versione 9 di Android)
  • CVE-2019-2034 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
  • CVE-2019-2035 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
  • CVE-2019-2038 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
  • CVE-2019-2039 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
  • CVE-2019-2040 (Elevata, per la versione 9 di Android)

Aggiornamenti Android: i dettagli del secondo security patch level

Ecco invece i dettagli per ciascuna delle vulnerabilità di sicurezza che si applicano al secondo pacchetto di aggiornamenti, identificato come 2019-04-05 security patch level, e dovrebbero essere applicate a seconda dell’hardware e del sistema operativo installati sul dispositivo.

Le prime 4 interessano il modulo System e la più grave potrebbe consentire ad un’applicazione dannosa locale di eseguire codice arbitrario nell’ambito di un processo privilegiato:

  • CVE-2019-2029 (Critica, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
  • CVE-2019-2032 (Elevata, per le versioni 8.0, 8.1, 9 di Android)
  • CVE-2019-2041 (Elevata, per le versioni 8.1, 9 di Android)
  • CVE-2019-2037 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)

Altre 30 vulnerabilità sono state individuate nel modulo Qualcomm Components:

Infine, ecco le altre 43 vulnerabilità identificate nel modulo Qualcomm closed-source components che interessano tutte componenti closed-source del sistema operativo. I dettagli sono elencati nei rispettivi bollettini di sicurezza rilasciati da Qualcomm:

@RIPRODUZIONE RISERVATA

Articolo 1 di 5