Nell’aggiornamento di luglio del sistema operativo Android, Google ha corretto 46 vulnerabilità, tre delle quali sono zero-day attivamente sfruttate in modo limitato e mirato.
L’exploit delle vulnerabilità potrebbe consentire di condurre attacchi di tipo:
- Denial of Service
- Information Disclosure
- Privilege Escalation
- Remote Code Execution
Come sempre, l’Android Security Bulletin di luglio 2023 è stato suddiviso in due pacchetti cumulativi di aggiornamenti: il primo catalogato come 2023-07-01 security patch level e riguardante le principali componenti del sistema operativo Android 11, 12, 12L, 13 con patch di sicurezza precedenti a luglio 2023. Il secondo, catalogato come 2023-07-05 security patch level, affronta e risolve i problemi di sicurezza identificati nei componenti hardware e dei fornitori closed-source.
Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, la stima d’impatto delle vulnerabilità è grave/rosso (77,94/100).
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di luglio 2023 sono disponibili sulla pagina dedicata.
Indice degli argomenti
I dettagli delle vulnerabilità zero-day
La prima delle tre vulnerabilità zero-day corrette in occasione del rilascio dell’Android Security Bulletin di luglio 2023 è stata classificata come CVE-2023-26083 e riguarda il driver della GPU Arm Mali per i chip Bifrost, Avalon e Valhall.
Dai dettagli ripostati nel relativo bollettino di sicurezza, questa particolare vulnerabilità è stata sfruttata in un precedente attacco nel mese di dicembre 2022 che ha permesso l’infiltrazione di spyware nei dispositivi Samsung.
Vista la sua gravità, la Cybersecurity and Infrastructure Security Agency (CISA) americana ha emesso un ordine di patch per le agenzie federali già nello scorso mese di aprile 2023.
Ricordiamo che già in occasione dell’Android Security Bulletin di giugno 2023 era stata corretta un’altra vulnerabilità nella GPU Mali.
La seconda vulnerabilità zero-day corretta con gli aggiornamenti Android di luglio 2023 è stata tracciata come CVE-2021-29256. In questo caso, si tratta di un problema di sicurezza che riguarda versioni specifiche dei driver del kernel delle GPU Bifrost e Midgard Arm Mali.
Se sfruttata, la vulnerabilità potrebbe consentire a un utente non privilegiato di ottenere un accesso non autorizzato a dati sensibili e di aumentare i privilegi fino al livello di root, riuscendo così a prendere il pieno controllo del dispositivo esposto.
Infine, la terza vulnerabilità zero-day è stata tracciata come CVE-2023-2136. In questo caso, si tratta di un bug di gravità critica scoperto in Skia, la libreria grafica 2D multipiattaforma open source di Google.
La particolarità, in questo caso, è che la vulnerabilità è stata inizialmente divulgata come zero-day nel browser Chrome e già corretta nel mese di aprile 2023. Se sfruttata con successo, può consentire a un aggressore remoto che si è impadronito del processo di rendering di eseguire una fuga dalla sandbox e implementare codice remoto sui dispositivi Android.
La vulnerabilità più grave dell’Android Security Bulletin di luglio 2023
Da segnalare anche che il più grave dei problemi di sicurezza risolti da Google questo mese è la CVE-2023-21250, una vulnerabilità critica nel componente System di Android che interessa le versioni 11, 12 e 13 del sistema operativo.
Un eventuale sfruttamento potrebbe portare all’esecuzione di codice in modalità remota senza interazione dell’utente o a privilegi di esecuzione aggiuntivi, ma Google non ha fornito in merito ulteriori dettagli.
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per aggiornare un dispositivo Android, è sufficiente andare su Impostazioni/Sistema/Aggiornamento sistema e selezionare Controlla aggiornamenti. In alternativa, si può accedere al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezionare Aggiornamento di sicurezza.
Da segnalare che, se il dispositivo utilizza ancora Android 10 o versioni precedenti, vuol dire che ha raggiunto la fine del ciclo di vita (EoL) da settembre 2022 (per la versione 10) e non riceverà le correzioni per i difetti di cui sopra.
Tuttavia, alcuni aggiornamenti importanti potrebbero comunque essere distribuiti tramite gli aggiornamenti di sistema di Google Play: per scaricarli e installarli, accediamo al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezioniamo la voce Aggiornamento di sistema di Google Play.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
