Google ha rilasciato l’Android Security Bulletin di aprile 2022, contenente gli aggiornamenti per 44 vulnerabilità identificate nelle varie componenti software del suo sistema operativo per dispositivi mobile.
La più grave delle vulnerabilità corrette con il pacchetto cumulativo di patch del mese di aprile 2022 è stata identificata nel modulo Framework e potrebbe essere sfruttata da un attaccante remoto per ottenere una escalation i privilegi, senza alcuna forma di interazione dell’utente. Inoltre, come si legge nel bollettino di sicurezza pubblicato da Google, il suo sfruttamento non richiede ulteriori privilegi di esecuzione.
Come di consueto, gli aggiornamenti del nuovo Android Security Bulletin sono stati suddivisi in due livelli di patch progressivi identificati come 2022-04-01 security patch level e 2022-04-05 security patch level.
Indice degli argomenti
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
Le vulnerabilità del primo security patch level
Con il primo pacchetto di patch, identificato come 2022-04-01 security patch level, sono state corrette 14 vulnerabilità, raggruppate in base al componente di sistema che influenzano.
Le prime sette vulnerabilità dell’Android Security Bulletin di aprile 2022 sono state risolte nel componente Framework, tutte classificate con un indice di gravità elevato e tutte portano all’elevazione dei privilegi (EoP, Elevation of Privilege). La più grave, in particolare, potrebbe portare a un’escalation locale dei privilegi senza la necessità di ulteriori privilegi di esecuzione. L’interazione dell’utente non è necessaria per lo sfruttamento: CVE-2021-0694, CVE-2021-39794, CVE-2021-39795, CVE-2021-39796, CVE-2021-39797, CVE-2021-39798, CVE-2021-39799.
Altre due vulnerabilità, CVE-2021-39803 di tipo ID (Information Disclosure) e CVE-2021-39804 di tipo DoS (Denial of Service), sono state identificate nel componente Media Framework: la vulnerabilità, catalogata con un indice di gravità più elevato, potrebbe portare alla divulgazione di informazioni in remoto senza la necessità di ulteriori privilegi di esecuzione. L’interazione dell’utente è necessaria per lo sfruttamento.
Fanno parte del primo pacchetto di patch anche le tre che correggono altrettante vulnerabilità identificate nel componente System di Android. Tutte e tre (la prima di tipo EoP e le altre due di tipo ID) hanno un indice di gravità elevato: CVE-2021-39808, CVE-2021-39805, CVE-2021-39809.
La vulnerabilità più grave di questa sezione potrebbe portare a un’escalation locale dei privilegi senza la necessità di ulteriori privilegi di esecuzione. L’interazione dell’utente non è necessaria per lo sfruttamento.
Infine, nel primo security patch level di aprile 2022 sono presenti anche due aggiornamenti per il Google Play System: CVE-2021-39795 e CVE-2021-39803 che interessano, rispettivamente, i componenti MediaProvider e Media Codecs.
Le vulnerabilità del secondo security patch level
Con il secondo pacchetto di patch, identificato come 2022-04-05 security patch level, sono state corrette altre 30 vulnerabilità, raggruppate in base al componente di sistema che influenzano e dovrebbero essere applicate a seconda dell’hardware e del sistema operativo installati sul dispositivo.
La prima vulnerabilità, CVE-2021-39807, è stata identificata nel modulo System: è di tipo EoP (Elevation of Privilege) e ha un indice di gravità elevato. Se sfruttata, potrebbe portare a un’escalation locale dei privilegi dall’account Guest senza la necessità di ulteriori privilegi di esecuzione. L’interazione dell’utente non è necessaria per lo sfruttamento.
Altre quattro vulnerabilità (tre di tipo EoP e una di tipo ID), tutte di gravità elevata, sono state identificate nel modulo Kernel components: CVE-2021-0707, CVE-2021-39801, CVE-2021-39802, CVE-2021-39800.
La vulnerabilità più grave in questa sezione potrebbe portare ad un’escalation locale dei privilegi senza la necessità di ulteriori privilegi di esecuzione. L’interazione dell’utente non è necessaria per lo sfruttamento.
Con il secondo pacchetto di patch dell’Android Security Bulletin di aprile 2022 sono state corrette anche due vulnerabilità nei MediaTek components: CVE-2022-20081 e CVE-2021-25477, entrambe con un indice di gravità elevato. I dettagli tecnici e la valutazione della gravità della vulnerabilità sono forniti direttamente da MediaTek nel rispettivo bollettino di sicurezza.
Sono sette, invece, le vulnerabilità identificate e corrette nei Qualcomm components di cui le prime tre classificate come critiche: CVE-2021-35081, CVE-2021-35112, CVE-2021-35123, CVE-2021-30334, CVE-2021-35091, CVE-2021-35095, CVE-2021-35130. Anche in questo caso, i dettagli tecnici e la valutazione della gravità della vulnerabilità sono forniti direttamente da Qualcomm nel rispettivo bollettino di sicurezza.
Infine, sono 16 le vulnerabilità identificate e corrette nei Qualcomm closed-source components, le prima sei classificate come critiche e le rimanenti con indice di gravità elevato: CVE-2021-30339, CVE-2021-30341, CVE-2021-30342, CVE-2021-30343, CVE-2021-30347, CVE-2021-35104, CVE-2021-30281, CVE-2021-30338, CVE-2021-30340, CVE-2021-30344, CVE-2021-30345, CVE-2021-30346, CVE-2021-30349, CVE-2021-30350, CVE-2021-35070, CVE-2021-35100.
I dettagli tecnici e la valutazione della gravità della vulnerabilità sono forniti direttamente da Qualcomm nel rispettivo bollettino di sicurezza.
Ulteriori dettagli sugli aggiornamenti di sicurezza Android di aprile 2022 sono disponibili sulla pagina ufficiale.
