02 Luglio 2021
Secondo quanto riportato nell'ultimo bollettino di sicurezza di maggio, Google ha scoperte quattro vulnerabilità in Android che possono consentire l'esecuzione di codice dannoso e permettere di assumere il controllo completo dei dispositivi. Tutte e quattro le vulnerabilità sono state corrette da Google che ha rilasciato degli aggiornamenti di sicurezza che ora i produttori di dispositivi hanno il compito di distribuire agli utenti.
Inizialmente, il bollettino di sicurezza non riportava informazioni relative all'effettivo sfruttamento delle circa 50 vulnerabilità segnalate. Nelle scorse ore, tuttavia, Google ha aggiornato il bollettino confermando, anche tramite un tweet della sua Security Researcher Maddie Stone, che quattro di queste potrebbero essere state "limitatamente" sfruttate.
Android has updated the May security with notes that 4 vulns were exploited in-the-wild.
— Maddie Stone (@maddiestone) May 19, 2021
Qualcomm GPU: CVE-2021-1905, CVE-2021-1906
ARM Mali GPU: CVE-2021-28663, CVE-2021-28664https://t.co/mT8vE2Us74
Secondo quanto affermato da Asaf Peleg di Zimperium, un società che si occupa di sicurezza, gli exploit di queste vulnerabilità "darebbero il controllo completo dell'endpoint mobile dell'utente e il dispositivo sarebbe completamente compromesso e nessun dato sarebbe al sicuro".
Due delle quattro vulnerabilità sono relative ancora una volta alla CPU Snapdragon di Qualcomm, compresi i più recenti Snapdragon 768G e Snapdragon 888. Nelle scorse settimane, ricordiamo, era stata già scoperta una falla riconducibile al suo MSM (mobile station modem). In particolare, la CVE-2021-1905 è relativa alla memoria e consente di eseguire codice dannoso con privilegi di root illimitati. Questa vulnerabilità è classificata come grave.
L'altra vulnerabilità, la CVE-2021-1906, è relativa invece a un difetto logico che può causare errori nell'allocazione di nuovi indirizzi di memoria GPU. In questo caso, il livello di gravità è 5,5. Le altre due vulnerabilità, la CVE-2021-28663 e la CVE-2021-28664, sono relative a driver che funzionano con le GPU ARM Mali. Entrambe consentono l'accesso root sui dispositivi vulnerabili.
Al momento non ci sono altri informazioni tuttavia, secondo Zimperium, l'abilità richiesta per sfruttare queste vulnerabilità lascerebbe ipotizzare che gli attacchi possano essere stati probabilmente opera di hacker sostenuti da uno stato nazionale.
I possessori di smartphone Pixel di Google dovrebbero ricevere una patch già nelle prossime ore. Per tutti gli altri, invece, si dovrà attendere che i produttori rilascino un aggiornamento.
Commenti
Ed è praticamente obbligatorio averne uno di questi bugphone.
No.
Il motto di Google per Android è stato "Be together, not the same". Il suo telefono non è l'unico android e lo sa bene: è l'universo di diversi prodotti di diversi produttori che tutti adottano Android. Lasciare adesso indietro tutti i non-Google sul lato sicurezza sarebbe regalare a Apple una leva (la sicurezza) che nel presente e futuro giocherà un ruolo sempre più importante nella scelta dello smartphone - per colpa di questa scellerata politica dell'app bancaria
Magari hai pure un prodotto brandizzato...
Beh sicuramente ci sarà qualcuno che proverà a sfruttarle pensa allo scandalo se venisse fuori...
Mi pare che in cantiere ci sia qualcosa in merito. Esiste il frame base che è Android, ed una skin che dovrebbe essere la UI proprietaria degli oem. In teoria Google potrebbe distribuire le patch di sicurezza tramite playstore, evitando la necessità di cucinare un nuovo firmwarw
Potrebbero però mentire e rilasciare patch farlocche che fanno aumentare solo il numerino della versione. Chi certifica che le vulnerabilità sono davvero chiuse?
Oddio chi prende i telefono a poco sa che non ha supporto e non gli interessa anche perchè per l' uso basico non avranno problemi.
I bug hw mica li puoi sistemare... ad esempio quello del Secure Enclave sembra attivo dagli a7 agli a11
Se lavorassi al marketing di Apple, io farei molta ma molta più leva su questo aspetto:
- Se trovo un bug su Iphone, lo correggo. Che sia hw o sw non importa.
- Se trovo un bug su Android, devo sperare che la patch venga implementata sul mio specifico modello dallo specifico produttore di quel modello. E lì son c#zzi.
Google deve intervenire su questo aspetto.
tutti
Il problema non è trovare le vulnerabilità ma chi non rilascia le patch. Vediamo quanti "best buy" verranno abbandonati al loro destino.