Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SICUREZZA MOBILE

Aggiornamenti di sicurezza Android ottobre 2019: i consigli per mettere in sicurezza i dispositivi mobile

Il nuovo Android Security Bulletin di ottobre contiene gli aggiornamenti di sicurezza per 28 vulnerabilità, di cui 11 e altre 15 di gravità elevata. Le più gravi di queste potrebbero consentire l’esecuzione di codice da remoto con privilegi elevati sul dispositivo. Ecco come applicare le patch

08 Ott 2019

Paolo Tarsitano


Il nuovo Android Security Bulletin relativo al mese di ottobre 2019 contiene gli aggiornamenti di sicurezza per 28 vulnerabilità individuate in diverse componenti del sistema operativo di Google. Di queste, 11 sono state classificate come critiche e 15 di gravità elevata. Altri due aggiornamenti riguardano, invece, lo store di app online Google Play.

Come successo anche in passato, le vulnerabilità più gravi corrette con gli aggiornamenti del nuovo Android Security Bulletin potrebbero consentire ad un criminal hacker di eseguire codice arbitrario con privilegi elevati sul dispositivo sfruttando un file malevolo appositamente creato dall’attaccante.

A dispetto delle previsioni, nel nuovo pacchetto di aggiornamenti manca la patch per la vulnerabilità zero-day che può consentire ai criminal hacker di prendere il pieno controllo di milioni di smartphone.

Gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi, come di consueto, in due livelli di patch progressivi identificati come 2019-10-01 security patch level e 2019-10-05 security patch level.

Ecco come aggiornare i dispositivi Android

Come al solito, Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).

Per fortuna, non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.

I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.

In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.

Aggiornamenti Android: i dettagli del primo security patch level

Con il primo pacchetto di patch, identificato come 2019-10-01 security patch level, vengono corrette le seguenti 7 vulnerabilità, raggruppate in base al componente di sistema che influenzano, oltre ai due aggiornamenti di sistema per Google Play e relativi ai codec multimediali.

La prima vulnerabilità interessa il modulo Framework (che funge da strato intermedio tra il sistema operativo e il software che lo utilizza) ed è di tipo EoP, Elevation of Privilege. Classificata con una gravità elevata, potrebbe consentire a un’applicazione dannosa locale di aggirare i requisiti di interazione utente per ottenere l’accesso a ulteriori autorizzazioni:

  • CVE-2019-2173 (Elevata, per le versioni 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)

Altre quattro vulnerabilità interessano, invece, il modulo Media framework: di queste, tre sono state classificate come critiche (anche se due di queste hanno un indice di pericolosità moderato su Android 10) e una è di gravità elevata.

La più grave di queste vulnerabilità potrebbe consentire a un attaccante remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2019-2184 (Critica, per le versioni 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
  • CVE-2019-2185 (Critica, per le versioni 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android, Moderata per la versione 10 di Android)
  • CVE-2019-2186 (Critica, per le versioni 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android, Moderata per la versione 10 di Android)
  • CVE-2019-2110 (Elevata, per la versione 9 di Android)

Infine, altre due vulnerabilità (una di tipo EoP e una di tipo ID, Information disclosure) interessano il modulo System e, anche in questo caso, la più grave di queste potrebbe consentire a un’applicazione dannosa locale di aggirare i requisiti di interazione utente per ottenere l’accesso a ulteriori autorizzazioni:

  • CVE-2019-2114 (Elevata, per le versioni 8.0, 8.1, 9 di Android)
  • CVE-2019-2187 (Elevata, per le versioni 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)

In questo primo pacchetto di patch sono inoltre inclusi due aggiornamenti per i Media Codecs di Google Play:

Aggiornamenti Android: i dettagli del secondo security patch level

Come di consueto, le vulnerabilità di sicurezza contenute nel secondo pacchetto di aggiornamenti, identificato come 2019-10-05 security patch level, dovrebbero essere applicate a seconda dell’hardware e del sistema operativo installati sul dispositivo. Ecco tutti i dettagli.

La prima, di tipo EoP, è stata individuata nel modulo Kernel component e potrebbe consentire a un’applicazione dannosa locale di aggirare i requisiti di interazione utente per ottenere l’accesso a ulteriori permessi:

Altre tre vulnerabilità sono state individuate, invece, nel modulo Qualcomm components. I dettagli sono elencati nei rispettivi bollettini di sicurezza rilasciati da Qualcomm:

Infine, ecco le ultime 14 vulnerabilità identificate nel modulo Qualcomm closed-source components che interessano tutte componenti closed-source del sistema operativo. Anche in questo caso, i dettagli sono elencati nei rispettivi bollettini di sicurezza rilasciati da Qualcomm:

@RIPRODUZIONE RISERVATA

Articolo 1 di 5