È stato rilasciato l’Android Security Bulletin di giugno 2021 contenente gli aggiornamenti che correggono le vulnerabilità di sicurezza che impattano i dispositivi Pixel di Google e gli smartphone Android di terze parti.
Le patch presenti nel nuovo pacchetto cumulativo di aggiornamenti risolvono più di 90 problemi di sicurezza, di cui una classificata come critica che, se sfruttata positivamente, potrebbe consentire ad un attaccante di prendere il pieno controllo di un dispositivo mirato.
Come di consueto, gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi in due livelli di patch progressivi identificati come 2021-06-01 security patch level e 2021-06-05 security patch level.
Ulteriori dettagli sugli aggiornamenti di sicurezza Android di giugno 2021 sono disponibili sulla pagina ufficiale.
Indice degli argomenti
Aggiornamenti Android: i dettagli della vulnerabilità critica
Classificata come CVE-2021-0507, la vulnerabilità più pericolosa patchata con gli aggiornamenti del Security Bulletin di giugno 2021 è stata individuata nel modulo System del sistema operativo e può essere sfruttata mediante una trasmissione dati appositamente elaborata che consente all’attaccante di eseguire codice arbitrario nel contesto di un processo privilegiato.
È evidente che, a seconda dei privilegi associati all’esecuzione del file, un aggressore potrebbe installare programmi, visualizzare, modificare o cancellare dati o creare nuovi account con tutti i diritti dell’utente.
Nel modulo System è stata identificata anche una seconda vulnerabilità critica, di tipo EoP (Elevation of Privilege) e tracciata come CVE-2021-0516. Di questa, però, al momento non sono stati forniti ulteriori dettagli: in genere, infatti, Google non rilascia i dettagli tecnici delle vulnerabilità patchate fino a quando la stragrande maggioranza dei telefoni vulnerabili non riceve i necessari aggiornamenti.
I dettagli delle altre vulnerabilità Android
Con il Security Bulletin di giugno 2021, Google ha affrontato altre gravi vulnerabilità di tipo EoP in altri componenti all’interno del sistema operativo.
Tra queste, da segnalare la vulnerabilità CVE-2021-0511 nel modulo Android runtime che potrebbe consentire a un utente malintenzionato con accesso locale al dispositivo di eseguire codice arbitrario e bypassare i requisiti di interazione dell’utente al fine di ottenere l’accesso a permessi aggiuntivi.
Altre quattro vulnerabilità di tipo EoP (CVE-2021-0508, CVE-2021-0509, CVE-2021-0510, CVE-2021-0520) sono state identificate nel modulo Media Framework: la più grave di queste potrebbe consentire ad un’applicazione locale dannosa di aggirare i requisiti di interazione dell’utente al fine di ottenere l’accesso a permessi aggiuntivi.
Due ulteriori vulnerabilità di tipo EoP di gravità elevata (CVE-2020-14305, CVE-2021-0512) sono state identificate nel modulo Kernel components e la più grave potrebbe portare a un’escalation locale dei privilegi senza la necessità di ulteriori privilegi di esecuzione.
Infine, da segnalare anche la vulnerabilità CVE-2021-0521 di tipo ID (Information Disclosure) identificata nel modulo Framework che potrebbe portare alla divulgazione di informazioni locali di permessi cross-user senza ulteriori privilegi di esecuzione necessari.
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
