Con gli aggiornamenti dell’Android Security Bulletin di ottobre 2023 Google ha corretto 52 vulnerabilità, di cui cinque classificate con un indice di gravità critico: tra queste, anche due zero-day il cui exploit risulta essere già attivamente sfruttato in attacchi mirati.
La più grave delle vulnerabilità corrette in occasione del rilascio degli aggiornamenti Android di ottobre 2023 è stata identificata nel componente System e potrebbe portare all’esecuzione di codice in modalità remota (prossimità/adiacente) senza la necessità di ulteriori privilegi di esecuzione.
L’exploit delle vulnerabilità potrebbe consentire di condurre attacchi di tipo:
- Denial of Service
- Information Disclosure
- Privilege Escalation
- Remote Code Execution
Come sempre, l’Android Security Bulletin di ottobre 2023 è stato suddiviso in due pacchetti cumulativi di aggiornamenti: il primo catalogato come 2023-10-01 security patch level e riguardante le principali componenti del sistema operativo Android 11, 12, 12L, 13 con patch di sicurezza precedenti a ottobre 2023.
Il secondo, catalogato come 2023-10-05 security patch level, affronta e risolve i problemi di sicurezza identificati nei componenti hardware e dei fornitori closed-source.
Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, la stima d’impatto delle vulnerabilità corrette in occasione del rilascio dell’Android Security Bulletin di ottobre 2023 è alto/arancione (73,84/100).
Ulteriori dettagli sugli aggiornamenti di questo mese sono disponibili sulla pagina dedicata.
Indice degli argomenti
I dettagli delle vulnerabilità zero-day
Le due vulnerabilità zero-day il cui exploit risulta essere già sfruttato in attacchi mirati sono la CVE-2023-4863 e la CVE-2023-4211, per le quali Google ha “indicazioni che potrebbero essere oggetto di uno sfruttamento limitato e mirato”.
In particolare, la CVE-2023-4863 è una vulnerabilità di buffer overflow nella diffusa libreria open-source libwebp, che ha un impatto su numerosi prodotti software, tra cui Chrome, Firefox, iOS, Microsoft Teams e molti altri.
Come spiegavamo in un precedente articolo, a questa particolare falla sono state inizialmente assegnate erroneamente CVE separate per Apple iOS e Google Chrome, anche se in realtà si trattava della stessa libreria.
La CVE-2023-4211 è, invece, una falla attivamente sfruttata che ha un impatto su più versioni dei driver della GPU Arm Mali utilizzati in un’ampia gamma di modelli di dispositivi Android: ne parliamo più approfonditamente in questo articolo: si tratta di un problema di memoria use-after-free che potrebbe consentire agli aggressori di accedere localmente o manipolare i dati sensibili degli utenti.
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per aggiornare un dispositivo Android, è sufficiente andare su Impostazioni/Sistema/Aggiornamento sistema e selezionare Controlla aggiornamenti. In alternativa, si può accedere al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezionare Aggiornamento di sicurezza.
Da segnalare che, se il dispositivo utilizza ancora Android 10 o versioni precedenti, vuol dire che ha raggiunto la fine del ciclo di vita (EoL) da settembre 2022 (per la versione 10) e non riceverà le correzioni per i difetti di cui sopra.
Tuttavia, alcuni aggiornamenti importanti potrebbero comunque essere distribuiti tramite gli aggiornamenti di sistema di Google Play: per scaricarli e installarli, accediamo al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezioniamo la voce Aggiornamento di sistema di Google Play.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
