SICUREZZA MOBILE

Aggiornamenti Android settembre 2020: ecco come mettere in sicurezza i propri dispositivi

L’Android Security Bulletin con gli aggiornamenti di settembre contiene i dettagli su 53 vulnerabilità nel sistema operativo mobile di Google, tra cui una particolarmente grave che potrebbe consentire l’esecuzione remota di codice arbitrario sui device vulnerabili. Ecco tutti i dettagli e le istruzioni per mettere in sicurezza i dispositivi

14 Set 2020
Paolo Tarsitano

Editor Cybersecurity360.it


Sono 53 i problemi di sicurezza classificati come critici o elevati che Google ha corretto questo mese nel suo sistema operativo mobile e i cui dettagli sono stati pubblicati nel periodico Android Security Bulletin, il bollettino con tutti i dettagli degli aggiornamenti di sicurezza Android di settembre.

Al solito, gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi in due livelli di patch progressivi identificati come 2020-09-01 security patch level e 2020-09-05 security patch level.

La più grave tra le vulnerabilità corrette è di tipo RCE (Remote Code Execution) ed è stata individuata nel modulo Media Framework: classificata come CVE-2020-0245, potrebbe consentire a un aggressore remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato.

Android Media Framework, lo ricordiamo, include il supporto per la riproduzione di una varietà di tipi multimediali e consente quindi agli utenti di riprodurre facilmente contenuti audio, video e immagini.

Il difetto di sicurezza è stato classificato come critico nelle versioni 8.0, 8.1 e 9 di Android. Su Android 10, invece, il suo livello di gravità è elevato ed è di tipo Information Disclosure (ID), cioè potrebbe consentire ad un attaccante di divulgare dati e informazioni riservati archiviati nel dispositivo target.

È utile ricordare che già lo scorso mese di agosto Google aveva corretto una vulnerabilità grave nel modulo Framework (un insieme di API composto da strumenti di sistema e di progettazione dell’interfaccia utente che permettono agli sviluppatori di scrivere velocemente e facilmente applicazioni per i telefoni Android): anche in quel caso, il difetto di sicurezza avrebbe potuto consentire a un aggressore remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo non privilegiato.

Ecco come aggiornare i dispositivi Android

Come al solito, Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).

Per fortuna, non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.

I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.

In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.

Aggiornamenti Android: i dettagli del primo security patch level

Con il primo pacchetto di patch, identificato come 2020-09-01 security patch level, sono state corrette le seguenti 24 vulnerabilità, raggruppate in base al componente di sistema che influenzano.

Dieci vulnerabilità interessano il modulo Framework che funge da strato intermedio tra il sistema operativo e il software che lo utilizza. La più grave di questa potrebbe consentire ad un’applicazione locale malevola di aggirare i requisiti di interazione con l’utente per ottenere l’accesso ad ulteriori permessi.

Le vulnerabilità sono, nell’ordine, quattro di tipo EoP (Elevation of Privilege) e sei di tipo ID (Information Disclosure):

  • CVE-2020-0074 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0388 (Elevata, per la versione 10 di Android)
  • CVE-2020-0391 (Elevata, per le versioni 9 e 10 di Android)
  • CVE-2020-0401 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0382 (Elevata, per la versione 10 di Android)
  • CVE-2020-0389 (Elevata, per la versione 10 di Android)
  • CVE-2020-0390 (Elevata, per la versione 10 di Android)
  • CVE-2020-0395 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0397 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0399 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)

Altre sette vulnerabilità (una di tipo RCE/ID, una di tipo EoP e cinque di tipo ID) sono state individuate nel modulo Media Framework. La più grave di queste, come dicevamo, potrebbe consentire a un aggressore remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2020-0245 (Elevata, per le versioni 8.0, 8.1, 9 di Android, Critica su Android 10 Android)
  • CVE-2020-0392 (Elevata, per le versioni 9 e 10 di Android)
  • CVE-2020-0381 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0383 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0384 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0385 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0393 (Elevata, per le versioni 9 e 10 di Android)

Altre cinque vulnerabilità (una di tipo RCE, una di tipo ID, due di tipo EoP e un’altra di tipo ID) sono state individuate nel modulo System e la più grave potrebbe consentire a un aggressore remoto che utilizza una trasmissione appositamente realizzata di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2020-0380 (Critica, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0396 (Critica, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0386 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0394 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0379 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)

Infine, altri due aggiornamenti riguardano il Google Play system:

  • CVE-2020-0245 (interessa il modulo Media Codecs)
  • CVE-2020-0383 (interessa il modulo Media Framework components)

Aggiornamenti Android: i dettagli del secondo security patch level

Le patch di sicurezza contenute nel secondo pacchetto di aggiornamenti, identificato come 2020-09-05 security patch level, dovrebbero essere applicate a seconda dell’hardware e del sistema operativo installati sul dispositivo. Ecco i dettagli.

Tre vulnerabilità (due di tipo EoP e una di tipo ID) sono state individuate nel componente Kernel. La più grave potrebbe consentire a un aggressore locale che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2020-0402 (Elevata, interessa il componente Storage subsystem)
  • CVE-2020-0404 (Elevata, interessa il componente USB driver)
  • CVE-2020-0407 (Elevata, interessa il componente F2FS)

Altre quattro vulnerabilità sono state individuate nel modulo MediaTek components. I dettagli tecnici sono forniti direttamente da MediaTek, così come la valutazione della gravità di questi problemi di sicurezza:

  • CVE-2020-0123 (Elevata, interessa il componente Sound driver of Android TV)
  • CVE-2020-0229 (Elevata, interessa il componente mdla)
  • CVE-2020-0278 (Elevata, interessa il componente ATF)
  • CVE-2020-0342 (Elevata, interessa il componente ATF)

Cinque vulnerabilità interessano anche i componenti Qualcomm. I dettagli tecnici, in questo caso, vengono forniti direttamente nei rispettivi bollettini di sicurezza rilasciati da Qualcomm:

  • CVE-2019-10527 (Elevata, interessa il componente Kernel)
  • CVE-2019-14117 (Elevata, interessa il componente Kernel)
  • CVE-2020-3613 (Elevata, interessa il componente Kernel)
  • CVE-2020-3656 (Elevata, interessa il componente Kernel)
  • CVE-2020-11124 (Elevata, interessa il componente Kernel)

Infine, le ultime diciassette vulnerabilità sono state identificate nel modulo Qualcomm closed-source components e interessano tutte componenti closed-source del sistema operativo. I dettagli sono elencati nei rispettivi bollettini di sicurezza rilasciati da Qualcomm:

  • CVE-2019-10628 (Critica, interessa un componente Closed-source component)
  • CVE-2019-10629 (Critica, interessa un componente Closed-source component)
  • CVE-2019-13994 (Critica, interessa un componente Closed-source component)
  • CVE-2020-3621 (Critica, interessa un componente Closed-source component)
  • CVE-2020-3634 (Critica, interessa un componente Closed-source component)
  • CVE-2019-10596 (Elevata, interessa un componente Closed-source component)
  • CVE-2019-13992 (Elevata, interessa un componente Closed-source component)
  • CVE-2019-13995 (Elevata, interessa un componente Closed-source component)
  • CVE-2019-14074 (Elevata, interessa un componente Closed-source component)
  • CVE-2020-3617 (Elevata, interessa un componente Closed-source component)
  • CVE-2020-3620 (Elevata, interessa un componente Closed-source component)
  • CVE-2020-3622 (Elevata, interessa un componente Closed-source component)
  • CVE-2020-3629 (Elevata, interessa un componente Closed-source component)
  • CVE-2020-3671 (Elevata, interessa un componente Closed-source component)
  • CVE-2020-11129 (Elevata, interessa un componente Closed-source component)
  • CVE-2020-11133 (Elevata, interessa un componente Closed-source component)
  • CVE-2020-11135 (Elevata, interessa un componente Closed-source component)

Ulteriori dettagli sugli aggiornamenti di sicurezza Android di agosto sono disponibili sulla pagina ufficiale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5