Come ogni inizio del mese, Google ha rilasciato nuovi aggiornamenti per i suoi dispositivi Android. Questa volta, però, l’installazione degli update appena distribuiti è consigliata in tempi brevi: i Nexus 6 e Nexus 6P soffrono infatti di una grave vulnerabilità che può consentire a un malintenzionato di ascoltare le chiamate della vittima, intercettare i pacchetti dati scambiati in rete, stabilire la posizione esatta del telefono via GPS, accedere alle informazioni salvate nella partizione EFS.
Le vulnerabilità sono state scoperte dai ricercatori di IBM X-Force e possono essere utilizzate da parte degli aggressori che hanno disponibilità fisica di un Nexus 6 o 6P non aggiornato all’ultima versione.
Collegando il dispositivo mobile mediante cavo USB al PC o inducendo il possessore di un Nexus 6 o 6P a usare un “caricabatterie malevolo”, il malintenzionato può provocare l’avvio del telefono in boot mode quindi installare il software che permetterà di effettuare l’attività di spionaggio.
La vulnerabilità nei nuovi Nexus di Google può essere usata per disporre l’attivazione di ADB (Android Debug Bridge) anche se il servizio risultasse disabilitato dalle Opzioni per gli sviluppatori dello stesso device. In questo modo, una volta sferrato l’attacco con la disponibilità fisica del telefono sarà poi possibile controllarlo in modalità remota.