Sono 46 le vulnerabilità corrette da Google con l’Android Security Bulletin relativo al mese di agosto 2024: tra queste, spicca una zero-day di gravità elevata nel Kernel Linux che risulta essere già attivamente sfruttata in rete dagli attori delle minacce, consentendo loro l’esecuzione remota di codice (RCE).
Come di consueto, l’Android Security Bulletin di agosto 2024 è stato suddiviso in due pacchetti cumulativi di aggiornamenti: il primo, catalogato come 2024-08-01 security patch level, riguarda le principali componenti del sistema operativo Android nelle versioni 12, 12L, 13 e 14 con patch di sicurezza precedenti ad agosto 2024.
Il secondo, catalogato come 2024-08-05 security patch level, affronta e risolve i problemi di sicurezza identificati nel kernel Linux e nei componenti dei fornitori closed-source.
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di agosto 2024 sono disponibili sulla pagina dedicata.
Indice degli argomenti
I dettagli della vulnerabilità zero-day nel kernel
La vulnerabilità zero-day in questione, identificata come CVE-2024-36971, è stata classificata come un difetto di tipo “use after free” (UAF, uso di memoria dinamica, anche se già deallocata, a causa di un errore nel codice) nella gestione delle route di rete del kernel Linux.
Per sfruttare con successo questa vulnerabilità, è necessario che l’aggressore acquisisca privilegi di esecuzione a livello System. Per questo motivo, nonostante la sua pericolosità, la vulnerabilità ha ottenuto un indice di gravità elevato e non critico.
Qualora l’aggressore dovesse riuscire ad acquisire privilegi elevati, lo sfruttamento della vulnerabilità gli consentirebbe di manipolare il comportamento di determinate connessioni di rete.
Secondo quanto riportato da Google, ci sono indizi che suggeriscono un utilizzo limitato ma mirato di questa vulnerabilità. Gli attori malevoli potrebbero sfruttarla per eseguire codice arbitrario sui dispositivi non aggiornati, senza richiedere alcuna interazione da parte dell’utente.
In particolare, come già successo in passato con lo sfruttamento di altre zero-day, anche in questo caso la vulnerabilità potrebbe essere stata utilizzata in attacchi di tipo spyware sponsorizzati da stati, tipicamente mirati a personalità di alto profilo.
La scoperta e la segnalazione di questa criticità sono state attribuite a Clément Lecigne, ricercatore del Threat Analysis Group (TAG) di Google.
Le vulnerabilità del primo security patch level
Come dicevamo, l’Android Security Bulletin di agosto 2024 è stato suddiviso, al solito, in due pacchetti cumulativi di aggiornamenti.
Con il primo pacchetto di patch, identificato come 2024-08-01 security patch level, sono state corrette 14 vulnerabilità.
Le prime 13 riguardano il componente Framework: classificate tutte con indice di gravità elevato, sono 11 di tipo EoP (Elevation of Privilege), una di tipo ID (Information Disclosure) e una di tipo DoS (Denial of Service).
L’ultima vulnerabilità è stata identificata nel componente System: di tipo ID (Information Disclosure), ha ottenuto anch’essa una classificazione di gravità elevata.
Le vulnerabilità del secondo security patch level
Sono invece 32 le vulnerabilità corrette con il secondo pacchetto di patch, identificato come 2024-08-05 security patch level.
Tra queste, anche la vulnerabilità zero-day nel kernel Linux che abbiamo già analizzato nel paragrafo precedente.
Tutte le altre patch riguardano componenti closed source di terze parti: Arm, Imagination Technologies, MediaTek e Qualcomm.
Di conseguenza, i dettagli tecnici e la valutazione della gravità di queste vulnerabilità sono forniti direttamente dai rispettivi produttori di componenti nei corrispondenti bollettini di sicurezza.
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
È importante che gli aggiornamenti vengano installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per aggiornare un dispositivo Android, è sufficiente andare su Impostazioni/Sistema/Aggiornamento sistema e selezionare Controlla aggiornamenti. In alternativa, si può accedere al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezionare Aggiornamento di sicurezza.
Da segnalare che, se il dispositivo utilizza ancora Android 10 o versioni precedenti, vuol dire che ha raggiunto la fine del ciclo di vita (EoL) da settembre 2022 (per la versione 10) e non riceverà le correzioni per i difetti di cui sopra.
Tuttavia, alcuni aggiornamenti importanti potrebbero comunque essere distribuiti tramite gli aggiornamenti di sistema di Google Play: per scaricarli e installarli, accediamo al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezioniamo la voce Aggiornamento di sistema di Google Play.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.