Dispositivi Android esposti a rischi di attacco: attenzione alla vulnerabilità CVE-2024-53104

Ogni mese Google pubblica patch di sicurezza destinate ai dispositivi Android. Nel caso delle versioni di Android derivate da AOSP (Android Open Source Project), spetta a produttori e sviluppatori fare propri gli aggiornamenti correttivi e distribuirli agli utenti finali.

Il bollettino Android di febbraio 2025 si mette in evidenza per la presenza di una vulnerabilità critica, alla quale è assegnato l’identificativo CVE-2024-53104, che Google ritiene sia già oggetto di sfruttamento da parte dei criminali informatici. Ed è un problema grave perché troppo spesso i dispositivi Android restano privi degli aggiornamenti di sicurezza per lunghi periodi. Di solito perché si tratta di terminali che hanno oltrepassato la data di fine supporto e il produttore ha ormai interrotto la distribuzione di qualunque patch.

Cos’è la vulnerabilità CVE-2024-53104 su Android e perché è particolarmente grave

La falla CVE-2024-53104 è particolarmente severa dal momento che ha a che vedere con un problema individuato a basso livello nel sottosistema UVC (USB Video Class), implementato nel kernel di Android.

UVC gioca un ruolo fondamentale nella gestione delle videocamere USB. Definisce infatti un insieme di specifiche per la trasmissione di dati video e audio attraverso una connessione USB. È progettato per semplificare e standardizzare il funzionamento dell’hardware per l’acquisizione video.

I tecnici di Google spiegano che un aggressore locale può acquisire privilegi più elevati facendo leva su un attacco a bassa complessità proprio aggredendo i dispositivi vulnerabili alla falla CVE-2024-53104. L’aggressione risulta possibile per via di un bug nella funzione responsabile dell’interpretazione dei dati relativi ai formati video UVC: a causa di un errore nella gestione di questi frame specifici, la dimensione del buffer dei frame viene calcolata in modo errato. Questo porta a una condizione out-of-bounds write: il sistema scrive dati in una porzione di memoria non allocata correttamente.

La principale conseguenza della vulnerabilità consiste nell’esecuzione di codice arbitrario (Arbitrary Code Execution, ACE). L’aggressione può quindi scrivere dati in aree di memoria critiche, modificando il comportamento del sistema e ottenendo l’esecuzione di codice malevolo con privilegi elevati. L’attacco può essere utilizzato, ad esempio, per ottenere il controllo del dispositivo compromesso o installare malware persistente.

Dispositivi vulnerabili e accesso all’aggiornamento correttivo

Come sottolineano i portavoce dell’azienda di Mountain View, i possessori di smartphone Google Pixel riceveranno immediatamente le patch correttive. I possessori di dispositivi di altri brand, invece, dovranno attendere di più perché i produttori sono chiamati a svolgere in proprio i test degli aggiornamenti di sicurezza, verificandone la piena compatibilità con tutte le configurazioni.

È improbabile quindi che i dispositivi non-Google sui quali sono installati gli aggiornamenti di febbraio 2025 siano automaticamente protetti anche rispetto agli attacchi che sfruttano la falla CVE-2024-53104.

Il consiglio è monitorare gli aggiornamenti rilasciati dal produttore e porre la massima attenzione sul codice che si avvia sui propri dispositivi Android. L’assenza della patch correttiva per la falla CVE-2024-53104 potrebbe infatti essere sfruttata anche da parte di applicazioni malevole, installate sul dispositivo mobile.

La possibilità di ricevere gli aggiornamenti di sicurezza più recenti giustifica l’installazione di una ROM Android personalizzata su un dispositivo che non è più supportato dallo sviluppatore.

Nel bollettino di febbraio 2025, Google indica che le versioni di Android vulnerabili sono tutte quelle dalla 12 in avanti. Android 11 e precedenti non sono più aggiornati da Google: è quindi altamente probabile che CVE-2024-53104 riguardi anche tali installazioni e, quindi, i dispositivi equipaggiati con versioni obsolete del sistema operativo.