È stato rilasciato l’Android Security Bulletin di maggio 2023: gli aggiornamenti mensili pubblicati da Google correggono un totale di 52 vulnerabilità di sicurezza che riguardano i dispositivi Android con le versioni 11, 12 e 13 del sistema operativo. I primi dispositivi a ricevere gli aggiornamenti saranno quelli della serie Pixel di Google.
La vulnerabilità più grave corretta con l’aggiornamento di sicurezza del nuovo Android Security Bulletin di maggio 2023 è stata individuata nei componenti del kernel e risulta essere già stata utilizzata in attacchi mirati. Se sfruttata con successo, potrebbe portare a un’escalation locale dei privilegi con la necessità di eseguire i privilegi di sistema.
Come di consueto, gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi in due livelli di patch progressivi identificati come 2023-05-01 security patch level e 2023-05-05 security patch level.
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di maggio 2023 sono disponibili sulla pagina dedicata.
Indice degli argomenti
Corretta una vulnerabilità sfruttata in attacchi mirati
Come dicevamo, tra le 52 vulnerabilità corrette in occasione dell’Android Security Bulletin di maggio 2023 anche una ad alta gravità sfruttata come zero-day per installare spyware commerciale su dispositivi compromessi.
La vulnerabilità, tracciata come CVE-2023-0266, è di tipo “use-after-free” e consente agli aggressori di caricare codice dannoso in una posizione di memoria che è stata liberata una volta che i suoi contenuti precedenti non sono più in uso.
La falla di sicurezza è stata identificata nel sottosistema audio del kernel Linux e può portare all’escalation dei privilegi senza richiedere l’interazione dell’utente.
In particolare, gli analisti del Google Threat Analysis Group (TAG) hanno accertato che la vulnerabilità è stata sfruttata come parte di una complessa catena di molteplici exploit in una campagna di spyware rivolta ai telefoni Android di Samsung che ha consentito ai criminal hacker di decriptare ed estrarre dati dalle app di messaggistica e dai browser utilizzati dalle vittime.
Nella catena di exploit utilizzata dagli attaccanti risulta esserci anche un’altra vulnerabilità zero-day tracciata come CVE-2022-4262 e identificata nella sandbox di Chrome.
Sempre secondo gli analisti del Google TAG, gli attacchi mirati che hanno sfruttato la CVE-2023-0266 sarebbero collegabili al fornitore spagnolo dello spyware Variston dotato di un vero e proprio framework di exploit, Heliconia, per la piattaforma Windows.
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per aggiornare un dispositivo Android, è sufficiente andare su Impostazioni/Sistema/Aggiornamento sistema e selezionare Controlla aggiornamenti. In alternativa, si può accedere al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezionare Aggiornamento di sicurezza.
Da segnalare che se il dispositivo utilizza ancora Android 10 o versioni precedenti, vuol dire che ha raggiunto la fine del ciclo di vita (EoL) da settembre 2022 (per la versione 10) e non riceverà le correzioni per i difetti di cui sopra.
Tuttavia, alcuni aggiornamenti importanti potrebbero comunque essere distribuiti tramite gli aggiornamenti di sistema di Google Play: per scaricarli e installarli, accediamo al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezioniamo la voce Aggiornamento di sistema di Google Play.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.