Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

Nuova vulnerabilità zero-day in Android mette a rischio milioni di smartphone: i dettagli

È stata scoperta una nuova vulnerabilità zero-day in Android che può consentire ai criminal hacker di prendere il pieno controllo di milioni di smartphone. Ecco tutti i dettagli tecnici e i consigli per mitigare il rischio di un possibile attacco

04 Ott 2019

Paolo Tarsitano


Una nuova vulnerabilità zero-day in Android mette a rischio la maggior parte degli smartphone dei principali produttori, consentendo ai criminal hacker di prendere il pieno controllo dei dispositivi.

Scoperta da Maddie Stone, ricercatrice del Google Project Zero, e identificata come CVE-2019-2215, la vulnerabilità sarebbe stata già attivamente sfruttata dalla NSO Group, la compagnia israeliana famosa per aver venduto in passato altri exploit a diversi enti governativi per scopi di cyber spionaggio e cyber sabotaggio.

Nuova vulnerabilità zero-day in Android: i dettagli

La vulnerabilità è un bug LPE (Local Privilege Escalation) del kernel ed è di tipo “use-after-free”, cioè sfrutta un difetto di progettazione che consente a un’applicazione di indicizzare un’area di memoria RAM precedentemente indicata dal sistema operativo come “libera”.

Se sfruttata con successo può quindi consentire a un aggressore o ad un’applicazione malevola di aumentare i propri privilegi per ottenere l’accesso root al dispositivo vulnerabile e quindi, potenzialmente, prenderne il pieno controllo da remoto.

La nuova vulnerabilità zero-day in Android risiede nelle versioni del kernel Android rilasciate prima dell’aprile dello scorso anno: una patch era stata inclusa nel kernel Linux 4.14 LTS rilasciato nel dicembre 2017 e poi adottata dal progetto Android Open Source Project (AOSP) in Android 3.18, 4.4 e 4.9. Ma a quanto pare il bug è stato reintrodotto nelle versioni successive.

Pertanto, la maggior parte dei dispositivi Android prodotti e venduti dalla maggior parte dei fornitori con il kernel non patchato è ancora esposta a questa vulnerabilità anche dopo aver avuto gli ultimi aggiornamenti Android: Tra gli smartphone vulnerabili risultano esserci anche i seguenti, molto diffusi:

  • Google Pixel 1
  • Google Pixel 1 XL
  • Google Pixel 2
  • Google Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Nota 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Tutti i telefoni LG con Android Oreo
  • Samsung S7
  • Samsung S8
  • Samsung S9

Non risultano al momento vulnerabili, invece, i dispositivi Pixel 3, 3 XL e 3a che eseguono le ultime versioni del kernel Android.

La ricercatrice del Google Project Zero ha inoltre scoperto che la nuova vulnerabilità zero-day in Android può essere “attivata” anche dall’interno della sandbox di Chrome: un eventuale aggressore potrebbe quindi sfruttarla da remoto combinandola con un difetto di rendering delle pagine Web di Chrome.

La patch non è ancora disponibile

Google rilascerà una patch per questa vulnerabilità nel suo Android Security Bulletin di ottobre, che sarà pubblicato nei prossimi giorni. Dal quartier generale di Big G, inoltre, fanno sapere di averla già notificata ai produttori OEM di telefonini: è molto probabile, però, che la maggior parte dei dispositivi interessati non riceverà subito la patch, cosa che invece dovrebbe ovviamente accadere sui Google Pixel 1 e 2.

C’è da dire, comunque, che la particolarità di questa nuova vulnerabilità zero-day in Android e il fatto che può essere attivata solo mediante l’uso di un’app malevola, lascia presupporre un suo sfruttamento in scenari di attacco mirato.

Ovviamente, è sempre una buona regola evitare di scaricare e installare applicazioni da app store di terze parti e qualsiasi applicazione non necessaria, anche se distribuita su Google Play.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5