È stato pubblicato l’Android Security Bulletin per il mese di giugno 2023, contenente gli aggiornamenti di sicurezza per sanare 56 vulnerabilità identificate nel sistema operativo di Google (nelle versioni 11, 12, 12L, 13), di cui 5 con gravità “critica”.
L’exploit delle vulnerabilità potrebbe consentire di condurre attacchi di tipo:
- Denial of Service
- Information Disclosure
- Privilege Escalation
- Remote Code Execution
La vulnerabilità più grave dell’Android Security Bulletin di giugno 2023 è, però, la CVE-2022-22706 nella GPU Mali, che risulterebbe essere già attivamente sfruttata in rete come zero-day, almeno dallo scorso mese di dicembre, per attacchi mirati.
Come sempre, l’Android Security Bulletin di giugno 2023 è stato suddiviso in due pacchetti cumulativi di aggiornamenti catalogati, rispettivamente, come 2023-06-01 security patch level, riguardante le principali componenti del sistema operativo, e 2023-06-05 security patch level, con cui sono stati affrontati e risolti i problemi di sicurezza identificati nei componenti dei fornitori closed-source.
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di giugno 2023 sono disponibili sulla pagina dedicata.
Indice degli argomenti
Bug della GPU Mali: allarme spyware per gli smartphone Samsung
Come dicevamo, la vulnerabilità più grave corretta in occasione del rilascio dell’Android Security Bulletin di giugno 2023 è stata stracciata come CVE-2022-22706: classificata con un indice di gravità elevato, riguarda il driver del kernel della GPU Mali di Arm.
Se sfruttata, la vulnerabilità (a cui è stato assegnato un punteggio di 7,8 su 10) potrebbe consentire a utenti non privilegiati di accedere in scrittura a pagine di memoria di sola lettura.
In particolare, il Threat Analysis Group (TAG) di Google ritiene che la vulnerabilità avrebbe consentito agli attori della minaccia di prendere di mira gli smartphone Samsung con una campagna spyware limitata e mirata.
Secondo Arm, il problema riguarda le seguenti versioni del driver del kernel:
- driver Kernel GPU Midgard: Tutte le versioni da r26p0 – r31p0;
- driver del kernel della GPU Bifrost: Tutte le versioni da r0p0 – r35p0;
- driver del kernel GPU Valhall: Tutte le versioni da r19p0 – r35p0.
Sia Arm sia Samsung sono intervenute prontamente per correggere la vulnerabilità: Arm ha risolto il problema in Bifrost e Valhall GPU Kernel Driver r36p0 e in Midgard Kernel Driver r32p0, ma la correzione è arrivata alla versione stabile di Android solo ora.
Samsung, da parte sua, ha risolto il problema di sicurezza con l’aggiornamento di maggio 2023 per i suoi dispositivi.
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali, eccetto che per la CVE-2022-22706.
Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per aggiornare un dispositivo Android, è sufficiente andare su Impostazioni/Sistema/Aggiornamento sistema e selezionare Controlla aggiornamenti. In alternativa, si può accedere al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezionare Aggiornamento di sicurezza.
Da segnalare che, se il dispositivo utilizza ancora Android 10 o versioni precedenti, vuol dire che ha raggiunto la fine del ciclo di vita (EoL) da settembre 2022 (per la versione 10) e non riceverà le correzioni per i difetti di cui sopra.
Tuttavia, alcuni aggiornamenti importanti potrebbero comunque essere distribuiti tramite gli aggiornamenti di sistema di Google Play: per scaricarli e installarli, accediamo al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezioniamo la voce Aggiornamento di sistema di Google Play.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
