È stato rilasciato l’Android Security Bulletin di agosto 2022 contenente i dettagli delle vulnerabilità di sicurezza che riguardano i dispositivi Android: le patch pubblicate da Google nel pacchetto cumulativo di aggiornamenti risolvono 37 problemi di sicurezza.
Solo una delle vulnerabilità corrette con l’Android Security Bulletin di agosto 2022 è stata classificata con un indice di gravità critico: identificata nel componente System e tracciata come CVE-2022-20345, potrebbe portare all’esecuzione di codice remoto tramite Bluetooth senza la necessità di ulteriori privilegi di esecuzione.
Come di consueto, gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi in due livelli di patch progressivi identificati come 2022-08-01 security patch level e 2022-08-05 security patch level.
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di agosto 2022 sono disponibili sulla pagina dedicata.
Indice degli argomenti
Le vulnerabilità del primo security patch level
Con il primo pacchetto di patch, identificato come 2022-08-01 security patch level, sono state corrette 17 vulnerabilità, raggruppate in base al componente di sistema che influenzano.
Nove di queste sono state identificate nel modulo Framework che, lo ricordiamo, funge da strato intermedio tra il sistema operativo e il software che lo utilizza. Classificate tutte con un indice di gravità elevato, sono cinque di tipo EoP (Elevation of Privilege) e quattro di tipo ID (Information Disclosure).
La vulnerabilità più grave di questa sezione potrebbe portare a un’escalation locale dei privilegi senza la necessità di ulteriori privilegi di esecuzione: CVE-2021-39696, CVE-2022-20344, CVE-2022-20348, CVE-2022-20349, CVE-2022-20356, CVE-2022-20350, CVE-2022-20352, CVE-2022-20357, CVE-2022-20358.
Altre due vulnerabilità, entrambe di tipo ID e con indice di gravità elevato, sono state identificate e corrette nel componente Media Framework: CVE-2022-20346 e CVE-2022-20353. La più grave potrebbe portare alla divulgazione di informazioni in remoto senza la necessità di ulteriori privilegi di esecuzione.
Sono sei, invece, le vulnerabilità identificate nel componente System: la più grave, tracciata come CVE-2022-20345 e classificata con un indice di gravità critico, potrebbe portare all’esecuzione di codice remoto tramite Bluetooth senza la necessità di ulteriori privilegi di esecuzione.
Le altre cinque vulnerabilità identificate in questa sezione, classificate con indice di gravità elevato, sono quatto di tipo EoP e l’ultima di tipo DoS: CVE-2022-20347, CVE-2022-20354, CVE-2022-20360, CVE-2022-20361, CVE-2022-20355.
Nello primo pacchetto di patch dell’Android Security Bulletin di agosto 2022 è presente anche un aggiornamento per il Google Play System: tracciato come CVE-2022-20228, interessa i Media Framework components.
Le vulnerabilità del secondo security patch level
Sono 19, invece, le vulnerabilità corrette in occasione del rilascio dell’Android Security Bulletin di agosto 2022 con il secondo pacchetto di patch, identificato come 2022-08-05 security patch level.
Una vulnerabilità di tipo EoP (Elevation of Privilege) e classificata con indice di gravità elevato è stata identificata nei Kernel components e tracciata come CVE-2022-1786. Se sfruttata, potrebbe portare a un’escalation locale dei privilegi con la necessità di privilegi di esecuzione da parte dell’utente.
Sono state poi corrette sette vulnerabilità nei moduli Imagination Technologies (CVE-2021-0698, CVE-2021-0887, CVE-2021-0891, CVE-2021-0946, CVE-2021-0947, CVE-2021-39815, CVE-2022-20122) che interessano tutte il componente PowerVR-GPU.
I dettagli tecnici e la valutazione della gravità della vulnerabilità sono forniti direttamente da Imagination Technologies nel rispettivo bollettino di sicurezza.
Una vulnerabilità è stata corretta nei MediaTek components: CVE-2022-20082. Anche in questo caso, i dettagli tecnici e la valutazione della gravità della vulnerabilità sono forniti direttamente da MediaTek nel rispettivo bollettino di sicurezza.
Un’altra vulnerabilità è stata corretta negli Unisoc components: CVE-2022-20239. È la stessa Unisoc a fornire i dettagli tecnici e la valutazione della gravità della vulnerabilità nel relativo bollettino di sicurezza.
Infine, una vulnerabilità è stata corretta nei Qualcomm components (CVE-2022-22080) e otto nei Qualcomm closed-source components (CVE-2021-30259, CVE-2022-22059, CVE-2022-22061, CVE-2022-22062, CVE-2022-22067, CVE-2022-22069, CVE-2022-22070, CVE-2022-25668). Anche in questo caso, i dettagli tecnici e la valutazione della gravità della vulnerabilità sono forniti direttamente da Qualcomm nei rispettivi bollettini di sicurezza.
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
