L’Android Security Bulletin del mese di novembre corregge 42 vulnerabilità nel sistema operativo mobile di Google.
La stessa Google fa sapere che due di queste vulnerabilità risultano essere oggetto di uno sfruttamento limitato e mirato in rete.
L’exploit delle vulnerabilità corrette con gli aggiornamenti Android di novembre 2024 potrebbe consentire di condurre attacchi di tipo:
- Elevation of Privilege
- Information Disclosure
- Denial of Service
- Remote Code Execution
Come di consueto, l’Android Security Bulletin di novembre 2024 è stato suddiviso in due pacchetti cumulativi di aggiornamenti: il primo, catalogato come 2024-11-01 security patch level, riguarda le principali componenti del sistema operativo Android 12, 12L, 13, 14 e 15 con patch di sicurezza precedenti a ottobre 2024.
Il secondo, catalogato come 2024-11-05 security patch level, affronta e risolve i problemi di sicurezza identificati nei componenti hardware e dei fornitori closed-source.
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di novembre 2024 sono disponibili sulla pagina dedicata.
Indice degli argomenti
Vulnerabilità sfruttate in rete: i dettagli
Come dicevamo, dal bollettino di sicurezza pubblicato da Google in occasione del rilascio dell’Android Security Bulletin del mese di novembre 2024 risulta che la vulnerabilità identificata con la sigla CVE-2024-43093 risulta essere attivamente sfruttata in natura in maniera limitata e mirata.
In particolare, la vulnerabilità è un problema di escalation dei privilegi nel componente Android Framework che potrebbe consentire agli attori della minaccia di ottenere l’accesso non autorizzato alle directory Android/data, Android/obb e Android/sandbox e alle relative sottodirectory.
Come di consueto, Google non ha condiviso ulteriori dettagli sugli attacchi che sfruttano la suddetta vulnerabilità per dare modo e tempo agli utenti di aggiornare i propri dispositivi prima che altri attori della minaccia possano a loro volta sfruttarla in nuovi attacchi.
L’Android Security Bulletin del mese di novembre 2024 corregge anche un’altra vulnerabilità che risulta essere attivamente sfruttata in rete.
Tracciata come CVE-2024-43047, è un problema nel kernel dei componenti closed source di Qualcomm.
Si tratta di una potenziale vulnerabilità di tipo “use after free” (UAF, uso di memoria dinamica, anche se già deallocata, a causa di un errore nel codice) nel modo in cui il DSP (Digital Signal Processor) gestisce i descrittori di file ad accesso diretto alla memoria (DMA) nei suoi buffer di intestazione.
Il suo sfruttamento potrebbe portare a una corruzione della memoria stessa.
Il relativo bollettino di sicurezza, anche in questo caso, non fornisce ulteriori dettagli sull’attività di sfruttamento mirato della vulnerabilità ma, come spesso accade in questi casi, potrebbe essere stata sfruttata come parte di attacchi spyware altamente mirati.
Al momento, inoltre, né Google né Qualcomm hanno reso noto se entrambe le vulnerabilità siano correlate tra di loro come una catena di exploit per elevare i privilegi e ottenere l’esecuzione di codice arbitrario sui dispositivi esposti.
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
È importante che gli aggiornamenti vengano installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per aggiornare un dispositivo Android, è sufficiente andare su Impostazioni/Sistema/Aggiornamento sistema e selezionare Controlla aggiornamenti. In alternativa, si può accedere al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezionare Aggiornamento di sicurezza.
Da segnalare che, se il dispositivo utilizza ancora Android 10 o versioni precedenti, vuol dire che ha raggiunto la fine del ciclo di vita (EoL) da settembre 2022 (per la versione 10) e non riceverà le correzioni per i difetti di cui sopra. Analogamente per i dispositivi con Android 11, che ha raggiunto la fine del ciclo di vita lo scorso 5 febbraio 2024.
Tuttavia, alcuni aggiornamenti importanti potrebbero comunque essere distribuiti tramite gli aggiornamenti di sistema di Google Play: per scaricarli e installarli, accediamo al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezioniamo la voce Aggiornamento di sistema di Google Play.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.