SICUREZZA MOBILE

Aggiornamenti di sicurezza Android giugno 2020: mettiamo in sicurezza i nostri dispositivi

Gli aggiornamenti di sicurezza Android del mese di giugno correggono 34 vulnerabilità nel sistema operativo mobile di Google: le più gravi potrebbero consentire ad un aggressore di installare applicazioni, visualizzare, modificare o cancellare dati e creare nuovi account. Ecco come applicare le patch

08 Giu 2020
Paolo Tarsitano

Editor Cybersecurity360.it


Con l’Android Security Bulletin di giugno Google ha rilasciato gli aggiornamenti di sicurezza per 34 vulnerabilità individuate in diverse componenti del suo sistema operativo mobile. Di queste, 2 sono state classificate come critiche e sono di tipo RCE (Remote Code Execution), 32 con un indice di gravità elevato.

Le più gravi delle vulnerabilità (CVE-2020-0117 e CVE-2020-8597) corrette con gli aggiornamenti del nuovo Android Security Bulletin sono state individuate nelle versioni 8, 9 e 10 del sistema operativo e potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario a distanza nel contesto di un processo privilegiato. Per sfruttare la vulnerabilità, un aggressore deve utilizzare una trasmissione appositamente realizzata.

Queste vulnerabilità potrebbero essere sfruttate attraverso diversi metodi come la posta elettronica, la navigazione sul web e gli MMS durante l’elaborazione di file multimediali.

A seconda dei privilegi associati all’applicazione, un aggressore può quindi installare programmi, visualizzare, modificare o cancellare dati o creare nuovi account con tutti i diritti dell’utente.

Al solito, gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi in due livelli di patch progressivi identificati come 2020-06-01 security patch level e 2020-06-05 security patch level.

Ecco come aggiornare i dispositivi Android

Come al solito, Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).

Per fortuna, non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Privacy

I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.

In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.

Aggiornamenti Android: i dettagli del primo security patch level

Con il primo pacchetto di patch, identificato come 2020-06-01 security patch level, sono state corrette le seguenti 9 vulnerabilità, raggruppate in base al componente di sistema che influenzano.

Le prime 3 vulnerabilità interessano il modulo Framework che funge da strato intermedio tra il sistema operativo e il software che lo utilizza: due sono di tipo EoP (Elevation of Privilege), la terza è di tipo ID (Information Disclosure). La più grave delle tre potrebbe consentire ad un’applicazione locale malevola di aggirare i requisiti di interazione con l’utente per ottenere l’accesso ad ulteriori permessi:

  • CVE-2020-0114 (Elevata, per la versione 10 di Android)
  • CVE-2020-0115 (Elevata, per la versione 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0121 (Elevata, per la versione 10 di Android)

Altre due vulnerabilità interessano il modulo Media framework, la prima è di tipo EoP, la seconda di tipo ID e, anche in questo caso, potrebbero consentire ad un’applicazione locale malevola di aggirare i requisiti di interazione con l’utente per ottenere l’accesso ad ulteriori permessi:

  • CVE-2020-0118 (Elevata, per la versione 10 di Android)
  • CVE-2020-0113 (Elevata, per la versione 9 e 10 di Android)

Infine, altre quattro vulnerabilità interessano il modulo System: le prime due sono tipo RCE (Remote Code Execution), le altre due di tipo ID (Information Disclosure). La vulnerabilità più grave di questa sezione potrebbe consentire a un aggressore remoto che utilizza una trasmissione appositamente realizzata di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2020-0117 (Critica, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-8597 (Critica, per le versioni 8.0, 8.1, 9, 10 di Android)
  • CVE-2020-0116 (Elevata, per la versione 10 di Android)
  • CVE-2020-0119 (Elevata, per la versione 10 di Android)

Aggiornamenti Android: i dettagli del secondo security patch level

Le patch di sicurezza contenute nel secondo pacchetto di aggiornamenti di sicurezza Android di giugno 2020, identificato come 2020-06-05 security patch level, dovrebbero essere applicate a seconda dell’hardware e del sistema operativo installati sul dispositivo. Ecco i dettagli.

Una vulnerabilità di tipo ID (Information Disclosure) è stata individuata nel modulo Framework e potrebbe consentire a un’applicazione locale dannosa di bypassare le protezioni del sistema operativo che isolano i dati dell’applicazione da altre applicazioni:

  • CVE-2019-2219 (Elevata, per le versioni 8.0, 8.1, 9, 10 di Android)

Un’altra vulnerabilità è stata individuata nel modulo System ed è di tipo EoP (Elevation of Privilege) e potrebbe consentire ad un aggressore remoto di aggirare i requisiti di interazione dell’utente per ottenere l’accesso ad ulteriori permessi:

  • CVE-2019-9460 (Elevata, per la versione 10 di Android)

Altre tre vulnerabilità (le prime due di tipo EoP e la terza di tipo ID) sono state individuate nel modulo Kernel components e la più grave potrebbe consentire a un aggressore locale che utilizza un’applicazione appositamente creata di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2020-8647 (Elevata, interessa il componente Kernel TTY support)
  • CVE-2020-8648 (Elevata, interessa il componente Kernel TTY support)
  • CVE-2020-8428 (Elevata, interessa il componente Kernel)

Altre quattro vulnerabilità sono state individuate nel modulo Qualcomm components. I dettagli sono elencati nei rispettivi bollettini di sicurezza rilasciati da Qualcomm:

  • CVE-2017-9704 (Elevata, interessa il componente Camera)
  • CVE-2019-14047 (Elevata, interessa il componente Kernel)
  • CVE-2020-3665 (Elevata, interessa il componente WLAN)
  • CVE-2019-9460 (Elevata, interessa il componente Display)

Infine, le ultime 16 vulnerabilità sono state identificate nel modulo Qualcomm closed-source components che interessano tutte componenti closed-source del sistema operativo. Anche in questo caso, i dettagli sono elencati nei rispettivi bollettini di sicurezza rilasciati da Qualcomm:

  • CVE-2019-14073 (Critica, interessa un componente closed-source)
  • CVE-2019-14080 (Critica, interessa un componente closed-source)
  • CVE-2019-10597 (Elevata, interessa un componente closed-source)
  • CVE-2019-14062 (Elevata, interessa un componente closed-source)
  • CVE-2019-14076 (Elevata, interessa un componente closed-source)
  • CVE-2020-3614 (Elevata, interessa un componente closed-source)
  • CVE-2020-3626 (Elevata, interessa un componente closed-source)
  • CVE-2020-3628 (Elevata, interessa un componente closed-source)
  • CVE-2020-3635 (Elevata, interessa un componente closed-source)
  • CVE-2020-3642 (Elevata, interessa un componente closed-source)
  • CVE-2020-3658 (Elevata, interessa un componente closed-source)
  • CVE-2020-3660 (Elevata, interessa un componente closed-source)
  • CVE-2020-3661 (Elevata, interessa un componente closed-source)
  • CVE-2020-3662 (Elevata, interessa un componente closed-source)
  • CVE-2020-3663 (Elevata, interessa un componente closed-source)
  • CVE-2020-3676 (Elevata, interessa un componente closed-source)
DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Ulteriori dettagli sugli aggiornamenti di sicurezza Android di giugno sono disponibili sulla pagina ufficiale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5