I tecnici di Google hanno annunciato quest’oggi di aver scoperto una vulnerabilità di sicurezza in Android che è stata utilizzata per sferrare attacchi “reali”.
L’aspetto curioso è che il problema era stato risolto nel mese di dicembre 2017 nelle versioni di Android 3.18, 4.14, 4.4 e 4.9 mentre tutte le successive release, comprese quelle più recenti, risultano vulnerabili.
Il nuovo zero-day è stato scoperto dallo stesso team di esperti che il mese scorso aveva messo alla luce un importante numero di lacune di sicurezza in iOS, utilizzate da enti governativi cinesi per prendere di mira soggetti della comunità uigura: Apple polemizza con Google: la falla in iOS non riguardava tutti gli utenti.
Secondo i ricercatori di Google il problema di sicurezza appena venuto a galla riguarderebbe i possessori dei seguenti smartphone Android: Pixel 2 con Android 9 e Android 10 in versione preview, Huawei P20, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, gli smartphone LG con Android 8 Oreo, Samsung S7, S8 e S9.
Il team Threat Analysis Group (TAG) di Google ha puntato il dito contro un’azienda israeliana che, ad oggi, sarebbe l’unico soggetto ad aver abusato della falla di sicurezza.
La società è infatti specializzata nell’individuazione e nella vendita (prevalentemente a governi, forze di polizia e servizi di intelligence) di exploit e strumenti di sorveglianza remota.
Il bug, al quale è stato assegnato l’identificativo CVE-2019-2215, viene considerato “ad alto rischio” anche se per sfruttarlo completamente è necessaria la presenza di un’app malevola sul dispositivo dell’utente. Da sola, insomma, la vulnerabilità non può essere sfruttata per provocare l’esecuzione a distanza – sul terminale dell’utente – di codice arbitrario. Combinandola con altri exploit o comunque spronando la vittima a caricare del codice sul suo dispositivo Android, allora l’aggressore può guadagnare i diritti di root ed effettuare ogni genere di operazione sull’altrui device.
Google ha spiegato di aver già informato tutti i produttori e che la patch è già disponibile (Android Common Kernel).
Per quanto riguarda i dispositivi dell’azienda di Mountain View, i Pixel 3 e 3a non sono vulnerabili mentre i possessori di Pixel 1 e Pixel 2 riceveranno gli aggiornamenti correttivi questo mese.