Google ha rilasciato l’Android Security Bulletin di giugno 2022 contenente i dettagli delle vulnerabilità di sicurezza che riguardano i dispositivi Android con le versioni 10, 11 e 12 del sistema operativo: le patch presenti nel nuovo pacchetto cumulativo di aggiornamenti risolvono 41 problemi di sicurezza, di cui cinque classificati come critici.
La vulnerabilità più grave corretta con l’aggiornamento di sicurezza del nuovo Android Security Bulletin di giugno 2022 è la CVE-2022-20210: si tratta di una falla di esecuzione di codice remoto (RCE, Remote Code Execution) che è stata individuata nel modulo System, relativa ai chip Unisoc e che può essere sfruttata senza richiedere particolari prerequisiti in quanto non richiede privilegi di esecuzione aggiuntivi
Come di consueto, gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi in due livelli di patch progressivi identificati come 2022-06-01 security patch level e 2022-06-05 security patch level.
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di giugno 2022 sono disponibili sulla pagina dedicata.
Indice degli argomenti
I dettagli delle vulnerabilità critiche
Come dicevamo, l’Android Security Bulletin di giugno corregge cinque vulnerabilità critiche.
La CVE-2022-20210 è stata scoperta all’inizio del mese dai ricercatori di Check Point che, durante i loro test, hanno verificato la possibilità di sfruttare la vulnerabilità nei chip Unisoc per neutralizzare la comunicazione radio del dispositivo utilizzando un pacchetto malformato.
La gravità del problema di sicurezza è data dal fatto che i chipset prodotti dalla cinese Unisoc sono presenti su circa l’11% dei dispositivi Android di fascia medio-bassa o sui modelli “rugged” utilizzati in ambito militare o industriale dove è importante poter contare su device particolarmente robusti.
Oltre alla CVE-2022-20210, anche la CVE-2022-20127 identificata nel modulo System e la CVE-2022-20130 identificata nel modulo Media Framework sono vulnerabilità di tipo RCE.
Si tratta di problemi di sicurezza particolarmente gravi in quanto possono portare alla divulgazione di informazioni, alla compromissione del sistema ad alto livello e all’acquisizione completa del dispositivo.
Da segnalare, infine, anche le altre due vulnerabilità critiche CVE-2022-20140 e CVE-2022-20145 identificate nel modulo System. In questo caso, si tratta di vulnerabilità di tipo EoP (Elevation of Privilege) pericolose perché vengono tipicamente sfruttate da malware che hanno ottenuto la persistenza nel dispositivo target attraverso attività malevoli che richiedono un basso livello di privilegi: l’esempio tipico, è l’installazione di un’applicazione apparentemente innocua che può essere sfruttata per aumentare i privilegi di esecuzione o per ottenere autorizzazioni di accesso dalle ignare vittime.
Ecco come aggiornare i dispositivi Android
Come di consueto, Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento si ha notizia solo dello sfruttamento in attacchi reali della vulnerabilità CVE-2021-22600. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
