SICUREZZA MOBILE

Aggiornamenti di sicurezza Android agosto 2020, corretti oltre 50 bug: ecco come installare le patch

Con gli aggiornamenti dell’Android Security Bulletin di agosto, Google ha corretto ben 54 vulnerabilità nel suo sistema operativo mobile, tra cui una particolarmente grave di tipo RCE (Remote Code Execution). Ecco tutti i dettagli e le istruzioni per mettere in sicurezza i nostri dispositivi

10 Ago 2020
Paolo Tarsitano

Editor Cybersecurity360.it


Come ogni mese, Google ha rilasciato l’Android Security Bulletin con gli aggiornamenti di agosto che, questo mese, corregge ben 54 problemi di sicurezza classificati come critici o elevati.

La più grave, tra queste, di tipo RCE (Remote Code Execution) e classificata come CVE-2020-0240, è stata individuata nel modulo Framework, un insieme di API composto da strumenti di sistema e di progettazione dell’interfaccia utente che permettono agli sviluppatori di scrivere velocemente e facilmente applicazioni per i telefoni Android.

Secondo quanto si legge nel bollettino di sicurezza di Google sugli aggiornamenti di sicurezza Android per il mese di agosto, il difetto potrebbe consentire a un aggressore remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo non privilegiato.

Il problema di sicurezza interessa esclusivamente i dispositivi che funzionano sulla versione 10 del sistema operativo Android.

Google ha inoltre rilasciato diverse patch utili a correggere bug in vari componenti di terze parti del suo ecosistema Android. Uno di questi difetti (CVE-2020-0259) interessa un componente di AMLogic, società che progetta e vende circuiti integrati SoC (System on Chip). Il componente specifico è dm-verity, che aiuta a prevenire i rootkit persistenti che possono mantenere i privilegi di root e compromettere i dispositivi. Questo difetto, di tipo EoP (Elevation of Privilege), potrebbe consentire a un aggressore locale che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato.

Per quanto riguarda le altre vulnerabilità, è interessante notare che Qualcomm, i cui chip sono utilizzati nei dispositivi Android, ha patchato un mix di 31 vulnerabilità tra critiche ed elevate.

Al solito, gli aggiornamenti del bollettino di sicurezza Android del mese di agosto sono stati suddivisi in due livelli di patch progressivi identificati come 2020-07-01 security patch level e 2020-07-05 security patch level.

Ecco come aggiornare i dispositivi Android

Come al solito, Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).

Per fortuna, non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.

I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.

In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.

Aggiornamenti Android: i dettagli del primo security patch level

Con il primo pacchetto di patch, identificato come 2020-08-01 security patch level, sono state corrette le seguenti 14 vulnerabilità, raggruppate in base al componente di sistema che influenzano.

Sette vulnerabilità interessano il modulo Framework che funge da strato intermedio tra il sistema operativo e il software che lo utilizza. La più grave di questa, come dicevamo, potrebbe consentire a un aggressore remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo non privilegiato.

Le vulnerabilità sono, nell’ordine, una di tipo RCE, due di tipo EoP, tre di tipo ID (Information Disclosure) e una di tipo DoS (Denial of Service):

  • CVE-2020-0240 (Elevata, per la versione 10 di Android)
  • CVE-2020-0238 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0257 (Elevata, per la versione 10 di Android)
  • CVE-2020-0239 (Elevata, per le versioni 9, 10 di Android)
  • CVE-2020-0249 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0258 (Elevata, per la versione 10 di Android)
  • CVE-2020-0247 (Elevata, per le versioni 8.0, 8.1, 10 di Android)

Altre tre vulnerabilità (tutte di tipo EoP) sono state individuate nel modulo Media Framework e la più grave potrebbe consentire ad un’applicazione locale malevola di aggirare i requisiti di interazione con l’utente per ottenere l’accesso ad ulteriori permessi:

  • CVE-2020-0241 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0242 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0243 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)

Infine, altre quattro vulnerabilità (due di tipo EoP e due di tipo ID) sono state individuate nel modulo System e la più grave, anche in questo caso, potrebbe consentire ad un’applicazione locale malevola di aggirare i requisiti di interazione con l’utente per ottenere l’accesso ad ulteriori permessi:

  • CVE-2020-0108 (Elevata, per le versioni 8.1, 9, 10 di Android)
  • CVE-2020-0256 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0248 (Elevata, per la versione 10 di Android)
  • CVE-2020-0250 (Elevata, per la versione 10 di Android)

Aggiornamenti Android: i dettagli del secondo security patch level

Le patch di sicurezza contenute nel secondo pacchetto di aggiornamenti, identificato come 2020-08-05 security patch level, dovrebbero essere applicate a seconda dell’hardware e del sistema operativo installati sul dispositivo. Ecco i dettagli.

Una vulnerabilità di tipo EoP è stata individuata nel componente AMLogic e potrebbe consentire a un aggressore locale che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2020-0259 (Elevata, interessa il componente dm-verity)

Altre tre vulnerabilità (due di tipo EoP e una di tipo ID) sono state individuate nel componente Kernel. La più grave potrebbe consentire a un aggressore locale di aggirare i requisiti di interazione con l’utente per ottenere l’accesso ad ulteriori permessi:

  • CVE-2020-0255 (Elevata, interessa il componente SELinux)
  • CVE-2020-12464 (Elevata, interessa il componente Linux USB Subsystem)
  • CVE-2019-16746 (Elevata, interessa il componente Linux Wireless Subsystem)

Cinque vulnerabilità (tre di tipo EoP e due di tipo ID) sono stati individuati nei componenti MediaTek e i dettagli tecnici vengono forniti direttamente nei rispettivi bollettini di sicurezza rilasciati da MediaTek:

  • CVE-2020-0252 (Elevata, interessa il componente Multimedia Processing Driver)
  • CVE-2020-0253 (Elevata, interessa il componente Multimedia Processing Driver)
  • CVE-2020-0260 (Elevata, interessa il componente Multimedia Processing Driver)
  • CVE-2020-0251 (Elevata, interessa il componente Multimedia Processing Driver)
  • CVE-2020-0254 (Elevata, interessa il componente Multimedia Processing Driver)

Nei componenti Qualcomm sono state individuate altre quattro vulnerabilità:

  • CVE-2020-11116 (Critica, interessa il componente WLAN)
  • CVE-2020-11115 (Elevata, interessa il componente WLAN)
  • CVE-2020-11118 (Elevata, interessa il componente WLAN)
  • CVE-2020-11120 (Elevata, interessa il componente WLAN)

Infine, le ultime ventisette vulnerabilità sono state identificate nel modulo Qualcomm closed-source components e interessano tutte componenti closed-source del sistema operativo. I dettagli sono elencati nei rispettivi bollettini di sicurezza rilasciati da Qualcomm:

  • CVE-2019-10562 (Critica, interessa il componente Closed-source component)
  • CVE-2019-10615 (Critica, interessa il componente Closed-source component)
  • CVE-2019-13998 (Critica, interessa il componente Closed-source component)
  • CVE-2020-3619 (Critica, interessa il componente Closed-source component)
  • CVE-2020-3667 (Critica, interessa il componente Closed-source component)
  • CVE-2018-5886 (Elevata, interessa il componente Closed-source component)
  • CVE-2018-13903 (Elevata, interessa il componente Closed-source component)
  • CVE-2019-13999 (Elevata, interessa il componente Closed-source component)
  • CVE-2019-14025 (Elevata, interessa il componente Closed-source component)
  • CVE-2019-14052 (Elevata, interessa il componente Closed-source component)
  • CVE-2019-14056 (Elevata, interessa il componente Closed-source component)
  • CVE-2019-14065 (Elevata, interessa il componente Closed-source component)
  • CVE-2019-14089 (Elevata, interessa il componente Closed-source component)
  • CVE-2019-14115 (Elevata, interessa il componente Closed-source component)
  • CVE-2019-14119 (Elevata, interessa il componente Closed-source component)
  • CVE-2020-3611 (Elevata, interessa il componente Closed-source component)
  • CVE-2020-3624 (Elevata, interessa il componente Closed-source component)
  • CVE-2020-3636 (Elevata, interessa il componente Closed-source component)
  • CVE-2020-3640 (Elevata, interessa il componente Closed-source component)
  • CVE-2020-3643 (Elevata, interessa il componente Closed-source component)
  • CVE-2020-3644 (Elevata, interessa il componente Closed-source component)
  • CVE-2020-3666 (Elevata, interessa il componente Closed-source component)
  • CVE-2020-3668 (Elevata, interessa il componente Closed-source component)
  • CVE-2020-3669 (Elevata, interessa il componente Closed-source component)
  • CVE-2020-3675 (Elevata, interessa il componente Closed-source component)
  • CVE-2020-11122 (Elevata, interessa il componente Closed-source component)
  • CVE-2020-11128 (Elevata, interessa il componente Closed-source component)

Ulteriori dettagli sugli aggiornamenti di sicurezza Android di agosto sono disponibili sulla pagina ufficiale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5