È stato pubblicato l’Android Security Bulletin per il mese di dicembre 2023, contenente gli aggiornamenti di sicurezza per sanare 85 vulnerabilità identificate nel sistema operativo di Google (nelle versioni 11, 12, 12L, 13), di cui 5 con gravità “critica”.
La più pericolosa di queste, qualora venisse sfruttata, è una zero-click di tipo RCE (Remote Code Execution) che non richiede alcun privilegio aggiuntivo per l’utilizzo e consente di eseguire codice arbitrario senza alcuna interazione da parte dell’utente.
Al momento, Google non ha fornito alcuna indicazione su un eventuale sfruttamento attivo della vulnerabilità: viste le caratteristiche, però, non è da escludere che i criminal hacker o eventuali gruppi state-sponsored potrebbero abusarne per condurre attacchi di tipo spyware.
Come indicato nel bollettino di sicurezza pubblicato da Google, lo sfruttamento delle vulnerabilità corrette con gli aggiornamenti di dicembre 2023 potrebbe consentire di condurre attacchi di tipo:
- Remote Code Execution
- Privilege Escalation
- Denial of Service
- Information Disclosure
con una stima di impatto, riportata nel bollettino del CSIRT Italia, alta/arancione (65,38/100).
Come sempre, i primi dispositivi a ricevere gli aggiornamenti saranno quelli della serie Pixel di Google.
L’Android Security Bulletin di dicembre 2023 è stato suddiviso, come di consueto, in due livelli di patch progressivi identificati come 2023-12-01 security patch level e 2023-12-05 security patch level.
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di dicembre 2023 sono disponibili sulla pagina dedicata.
Indice degli argomenti
I dettagli delle vulnerabilità critiche
Tracciata come CVE-2023-40088, la vulnerabilità zero-click di tipo RCE corretta in occasione dell’Android Security Bulletin di dicembre 2023 è stata identificata nel componente System di Android e non richiede privilegi aggiuntivi per essere sfruttata.
Google ha rilasciato la patch anche per altre tre vulnerabilità classificate con un indice di gravità critico: CVE-2023-40077, CVE-2023-40076 e CVE-2023-45866.
Le prime due, CVE-2023-40077 e CVE-2023-40076) sono state identificate nel componente Framework di Android e riguardano, rispettivamente, l’escalation dei privilegi e la divulgazione di informazioni riservate.
La CVE-2023-45866 è stata invece identificata nel componente System e, se sfruttata, potrebbe portare a un’escalation di privilegi remota (prossimale/adiacente) senza la necessità di ulteriori privilegi di esecuzione. L’interazione dell’utente, inoltre, non è necessaria per lo sfruttamento.
L’ultima delle cinque vulnerabilità critiche corrette in occasione dell’Android Security Bulletin di dicembre 2023, la CVE-2022-40507, è stata identificata in un componente closed source di Qualcomm.
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per aggiornare un dispositivo Android, è sufficiente andare su Impostazioni/Sistema/Aggiornamento sistema e selezionare Controlla aggiornamenti. In alternativa, si può accedere al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezionare Aggiornamento di sicurezza.
Da segnalare che, se il dispositivo utilizza ancora Android 10 o versioni precedenti, vuol dire che ha raggiunto la fine del ciclo di vita (EoL) da settembre 2022 (per la versione 10) e non riceverà le correzioni per i difetti di cui sopra.
Tuttavia, alcuni aggiornamenti importanti potrebbero comunque essere distribuiti tramite gli aggiornamenti di sistema di Google Play: per scaricarli e installarli, accediamo al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezioniamo la voce Aggiornamento di sistema di Google Play.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
