Un ricercatore del team Google Project Zero sostiene che alcune funzionalità di sicurezza aggiunte dagli sviluppatori Samsung al kernel di Android non forniscono una protezione significativa e in realtà aumentano la superficie di attacco.
A spiegarlo è Jann Horn in un lungo post: il ricercatore descrive come sia riuscito a mettere a punto un codice exploit funzionante (seppur non ancora pienamente affidabile, come da lui stesso ammesso) per aggredire il kernel modificato da Samsung e disporre l’esecuzione di codice arbitrario. Horn descrive il bug di sicurezza introdotto da Samsung e come sia stato possibile combinarlo con una seconda vulnerabilità (CVE-2018-17972) risolta da tempo nel kernel di Android distribuito in via ufficiale da Google ma non risolta a sua volta dal gigante sudcoreano (Samsung non avrebbe implementato il codice ufficiale di Google preferendo realizzare una versione del kernel notevolmente diversa).
Horn chiarisce di aver focalizzato la sua attenzione sul kernel Android utilizzato da Samsung nel Galaxy A50 e di fatto non esclude che il problema sia comune ad altri modelli di dispositivi.
Dopo le segnalazioni pervenute dai membri di Google Project Zero, va detto, Samsung ha immediatamente provveduto ad aggiornare il kernel correggendo la lacuna segnalata e facendo proprie le correzioni per il bug contraddistinto dall’identificativo CVE-2018-17972. Le patch sono in corso di distribuzione con gli aggiornamenti Samsung di febbraio 2020 per i suoi device Android.
Resta però il problema di fondo: secondo Horn eventuali modifiche sul kernel di Android non dovrebbero scavalcare il layer HAL (Hardware Abstraction Layer) quindi il livello intermedio tra driver e hardware vero e proprio. Gli interventi dovrebbero semmai concentrarsi sui driver che agiscono nel cosiddetto spazio utente, in questo modo si possono usare linguaggi di più alto livello e lavorare in configurazione sandboxed.
Così facendo gli aggiornamenti non saranno resi più complessi al momento del rilascio di nuove versioni del kernel e si lavorerà in sicurezza.
“Il solo fatto che sono stato in grado di riutilizzare un bug che è stato risolto più di un anno fa dimostra, ancora una volta, che il modo con cui i dispositivi Android (di terze parti, n.d.r.) sono attualmente gestiti dal punto di vista degli aggiornamenti periodici continua a fare acqua“, ha osservato Horn che aggiunge come idealmente tutti i produttori dovrebbero orientarsi verso l’utilizzo e l’applicazione frequente di aggiornamenti del kernel ufficiale.