La pericolosa vulnerabilità di Android scoperta da Google

Il bug di sicurezza 0-day sarà risolto dalla patch di sicurezza di ottobre

Il gruppo di ricerca Project Zero di Google ha riportato di una nuova pericolosa vulnerabilità 0-day che affliggerebbe un grande numero di dispositivi come molti vecchi Pixel, Samsung e Huawei.

Ricordiamo che le vulnerabilità 0-day sono bug di sicurezza che gli sviluppatori del software non hanno ancora sistemato e possono rimanere per anni in attesa che qualche cybercriminale la sfrutti per intenti malevoli.

In questo caso si è dato nome cve-2019-2215 alla vulnerabilità che apre a due inquietanti scenari. Da un lato consente l’installazione di un pacchetto con software malevolo e dall’altro offre il fianco a un attacco tramite sito web associata a un’altra debolezza del browser proprietario Chrome.

Ecco una lista di smartphone finora inseriti tra quelli suscettibili:

• Pixel
• Pixel XL
• Pixel 2
• Pixel 2 XL
• Huawei P20
• Smartphone LG con Oreo
• Moto Z3
• Oppo A3
• Samsung Galaxy S7
• Samsung Galaxy S8
• Samsung Galaxy S9
• Xiaomi Redmi 5A
• Xiaomi Redmi Note 5
• Xiaomi Mi A1

Cosa si rischia con questa vulnerabilità? Teoricamente si può prendere controllo completo del dispositivo visto che si ottengono tutti i privilegi d’accesso. Secondo il team Project Zero la falla è stata già sfruttata diverse volte in passato (e sembra venduta al gruppo israeliano NSO (quelli dietro lo spyware Pegasus) ma più che altro a livello aziendale e governativo e non privato.

La vulnerabilità si trova all’interno del kernel di Linux ed era stata già risolta nel 2018 con la versione patch 4.14, ma non è stata distribuita all’interno del sistema di aggiornamenti di sicurezza non proteggendo smartphone meno recenti.

Google andrà a risolvere il problema con una patch di sicurezza diffusa nei prossimi giorni di ottobre per Pixel e ha inviato le informazioni ai produttori affinché possano preparare degli update proprietari così da evitare ogni eventuale pericolo.

Nel frattempo, ci si può proteggere evitando ogni installazione di file apk (quelli per installare applicazioni manualmente) da sorgenti incerte e attendere la patch di sicurezza di ottobre prima di tornare a utilizzare Chrome.