Google ha rilasciato l’Android Security Bulletin per il mese di aprile 2023 contenente gli aggiornamenti che correggono le vulnerabilità di sicurezza che impattano i dispositivi Pixel di Google e gli smartphone Android di terze parti con le versioni 11, 12 e 13 del sistema operativo.
In particolare, le patch presenti nel nuovo pacchetto cumulativo di aggiornamenti risolvono 68 problemi di sicurezza: il più grave di questi, identificato nel modulo System, potrebbe portare all’esecuzione di codice remoto senza la necessità di ulteriori privilegi di esecuzione e senza alcuna interazione da parte dell’utente.
Come di consueto, gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi in due livelli di patch progressivi identificati come 2023-04-01 security patch level e 2023-04-05 security patch level.
Ulteriori dettagli sugli aggiornamenti di sicurezza Android di aprile 2023 sono disponibili sulla pagina ufficiale.
Indice degli argomenti
Le vulnerabilità del primo security patch level
Con il primo pacchetto di patch contenute nell’Android Security Bulletin di aprile 2023, identificato come 2023-04-01 security patch level, sono state corrette 26 vulnerabilità, raggruppate in base al componente di sistema che influenzano.
A queste si aggiungono altre due patch per il Google Play System, per un totale di 28 problemi di sicurezza risolti.
Le prime dieci vulnerabilità sono state identificate nel componente Framework. La vulnerabilità più grave di questa sezione potrebbe portare a un’escalation locale dei privilegi senza la necessità di ulteriori privilegi di esecuzione.
La vulnerabilità più grave di questa sezione potrebbe portare a un’escalation locale dei privilegi senza la necessità di ulteriori privilegi di esecuzione. L’interazione dell’utente non è necessaria per lo sfruttamento.
Classificate con un indice di gravità elevato, sette sono di tipo EoP (Elevation of Privilege) e due di tipo DoS (Denial of Service): CVE-2023-21081, CVE-2023-21088, CVE-2023-21089, CVE-2023-21092, CVE-2023-21094, CVE-2023-21097, CVE-2023-21098, CVE-2023-21087 e CVE-2023-21090. A queste se ne aggiunge un’altra con un indice di gravità moderato e di tipo EoP: CVE-2023-20950.
Le altre sedici vulnerabilità sono state identificate nel componente System: la vulnerabilità più grave di questa sezione potrebbe portare all’esecuzione di codice in modalità remota senza la necessità di ulteriori privilegi di esecuzione. Neanche l’interazione dell’utente non è necessaria per lo sfruttamento.
Le prime due vulnerabilità sono state classificate con un indice di gravità critico, che invece è elevato nelle altre.
Le due vulnerabilità critiche sono di tipo RCE (Remote Code Execution), altre sette sono di tipo EoP, sei di tipo ID (Information Siclosure) e l’ultima di tipo DoS: CVE-2023-21085, CVE-2023-21096, CVE-2022-20463, CVE-2023-20967, CVE-2023-21084, CVE-2023-21086, CVE-2023-21093, CVE-2023-21099, CVE-2023-21100, CVE-2022-20471, CVE-2023-20909, CVE-2023-20935, CVE-2023-21080, CVE-2023-21082, CVE-2023-21083, CVE-2023-21091.
Infine, nel primo pacchetto cumulativo di patch dell’Android Security Bulletin del mese di aprile 2023 sono presenti anche due aggiornamenti per il Google Play System: tracciati come CVE-2023-21093 e CVE-2022-20463, interessano i componenti WiFi e MediaProvider.
Le vulnerabilità del secondo security patch level
Sono 40 le vulnerabilità corrette in occasione del rilascio dell’Android Security Bulletin di aprile 2023 con il secondo pacchetto di patch, identificato come 2023-04-05 security patch level.
I primi due aggiornamenti riguardano il Kernel e correggono due vulnerabilità di tipo EoP classificate entrambe con un indice di gravità elevato: CVE-2022-4696 e CVE-2023-20941.
La vulnerabilità più grave di questa sezione potrebbe portare a un’escalation locale dei privilegi nel kernel senza la necessità di ulteriori privilegi di esecuzione. Inoltre, per il suo sfruttamento non è nemmeno necessaria l’interazione da parte dell’utente.
Tutte le altre patch riguardano componenti di terze parti: Arm, Imagination Technologies, MediaTek, Unisoc e Qualcomm. I dettagli tecnici e la valutazione della gravità di queste vulnerabilità sono forniti direttamente dai rispettivi produttori di componenti nei corrispondenti bollettini di sicurezza.
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per aggiornare un dispositivo Android, è sufficiente andare su Impostazioni/Sistema/Aggiornamento sistema e selezionare Controlla aggiornamenti. In alternativa, si può accedere al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezionare Aggiornamento di sicurezza.
Da segnalare che se il dispositivo utilizza ancora Android 10 o versioni precedenti, vuol dire che ha raggiunto la fine del ciclo di vita (EoL) da settembre 2022 (per la versione 10) e non riceverà le correzioni per i difetti di cui sopra.
Tuttavia, alcuni aggiornamenti importanti potrebbero comunque essere distribuiti tramite gli aggiornamenti di sistema di Google Play: per scaricarli e installarli, accediamo al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezioniamo la voce Aggiornamento di sistema di Google Play.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
