Aggiornamenti di sicurezza Android gennaio 2020: ecco come installare le patch di sistema - Cyber Security 360

SICUREZZA MOBILE

Aggiornamenti di sicurezza Android gennaio 2020: ecco come installare le patch di sistema

Gli aggiornamenti di sicurezza Android appena rilasciati correggono 41 vulnerabilità nel sistema operativo mobile di Google: Le più gravi di queste potrebbero consentire l’esecuzione di codice da remoto con privilegi elevati sui dispositivi o causare condizioni di Denial of Service. Ecco come applicare le patch

07 Gen 2020

Con il primo Android Security Bulletin dell’anno Google ha rilasciato gli aggiornamenti di sicurezza per 41 vulnerabilità individuate in diverse componenti del suo sistema operativo mobile.

Di queste, 2 sono state classificate come critiche e 38 con un indice di gravità elevato. Tra gli aggiornamenti di sicurezza Android del mese di gennaio 2020 è inoltre presente la patch per una vulnerabilità individuata in Google Play.

Le più gravi delle vulnerabilità corrette con gli aggiornamenti del nuovo Android Security Bulletin potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario con privilegi elevati sul dispositivo target o causare una condizione di Denial of Service (DoS) con conseguente blocco del dispositivo.

Al solito, gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi in due livelli di patch progressivi identificati come 2020-01-01 security patch level e 2020-01-05 security patch level.

Ecco come aggiornare i dispositivi Android

Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).

Per fortuna, non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.

I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.

In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.

Aggiornamenti Android: i dettagli del primo security patch level

Con il primo pacchetto di patch, identificato come 2020-01-01 security patch level, sono state corrette le seguenti 8 vulnerabilità, raggruppate in base al componente di sistema che influenzano, oltre all’aggiornamento di sistema per Google Play.

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Banda larga

Le prime 3 vulnerabilità interessano il modulo Framework che funge da strato intermedio tra il sistema operativo e il software che lo utilizza: due sono di tipo EoP (Elevation of Privilege), la terza è di tipo DoS, Denial of Service. La vulnerabilità più grave delle tre potrebbe consentire a un’applicazione locale malevola di aggirare i requisiti di interazione con l’utente per ottenere l’accesso ad ulteriori permessi:

  • CVE-2020-0001 (Elevata, per le versioni 8.0, 8.1, 9; Moderata per la versione 10 di Android)
  • CVE-2020-0003 (Elevata, per la versione 8.0 di Android)
  • CVE-2020-0004 (Elevata, per le versioni 8.0, 8.1, 9, 10)

Una quarta vulnerabilità interessa il modulo Media framework. È di tipo RCE (Remote Code Execution) e potrebbe consentire a un aggressore remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2020-0002 (Critica, per le versioni 8.0, 8.1, 9; Moderata per la versione 10 di Android)

Infine, altre 3 vulnerabilità interessano il modulo System e sono tutte di tipo ID (Information Disclosure). La vulnerabilità più grave di questa sezione potrebbe portare alla divulgazione di informazioni a distanza senza la necessità di ulteriori privilegi di esecuzione:

Come dicevamo, in questo primo pacchetto di patch è incluso anche un aggiornamento di sistema per i Media Codecs Google Play:

Aggiornamenti Android: i dettagli del secondo security patch level

Le patch di sicurezza contenute nel secondo pacchetto di aggiornamenti, identificato come 2020-01-05 security patch level, dovrebbero essere applicate a seconda dell’hardware e del sistema operativo installati sul dispositivo. Ecco i dettagli.

Quattro vulnerabilità, la prima di tipo RCE (Remote Code Execution) e le altre tre di tipo EoP (Elevation of Privilege), sono state individuate nel modulo Kernel components. La vulnerabilità più grave in questa sezione potrebbe consentire a un attaccante di prossimità di eseguire codice arbitrario nel contesto di un processo privilegiato utilizzando una trasmissione dati appositamente realizzata:

Altre 11 vulnerabilità sono state individuate nel modulo Qualcomm components. I dettagli sono elencati nei rispettivi bollettini di sicurezza rilasciati da Qualcomm:

Infine, le ultime 18 vulnerabilità sono state identificate nel modulo Qualcomm closed-source components che interessano tutte componenti closed-source del sistema operativo. Anche in questo caso, i dettagli sono elencati nei rispettivi bollettini di sicurezza rilasciati da Qualcomm:

Ulteriori dettagli sugli aggiornamenti di sicurezza Android di gennaio sono disponibili sulla pagina ufficiale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2