Google ha avviato il rilascio dell’Android Security Bulletin di maggio 2022 contenente i dettagli delle vulnerabilità di sicurezza che riguardano i dispositivi Android: le patch presenti nel nuovo pacchetto cumulativo di aggiornamenti risolvono 37 problemi di sicurezza, uno dei quali riguarda una vulnerabilità del kernel Linux già attivamente sfruttata almeno dall’inizio di quest’anno.
Tracciata come CVE-2021-22600 (e con un punteggio CVSS pari a 7.8 su 10.0), la vulnerabilità è classificata con un indice di gravità moderato ma potrebbe consentire a un utente locale di aumentare i propri privilegi o portare a termine attività di Denial of Service (negazione del servizio) che renderebbero di fatto inutilizzabile il dispositivo Android esposto.
La vulnerabilità più grave corretta con gli aggiornamenti di sicurezza del nuovo Android Security Bulletin di maggio 2022 è anch’essa di tipo EoP (Elevation of Privilege): individuata nel modulo Framework del sistema operativo, potrebbe portare a un’escalation locale di privilegi richiedendone l’esecuzione a livello User.
Come di consueto, gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi in due livelli di patch progressivi identificati come 2022-05-01 security patch level e 2022-05-05 security patch level.
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di maggio 2022 sono disponibili sulla pagina dedicata.
Indice degli argomenti
I dettagli della vulnerabilità già attivamente sfruttata
La vulnerabilità CVE-2021-22600 è di tipo double-free (“a doppia liberazione di memoria”) e risiede nell’implementazione del protocollo di rete Packet integrato nel kernel Linux. Il suo sfruttamento potrebbe causare la corruzione della memoria, portando potenzialmente a una condizione di Denial of Service (DoS, “negazione del servizio”) o all’esecuzione di codice arbitrario.
“Ci sono indicazioni che la vulnerabilità CVE-2021-22600 possa essere sotto sfruttamento limitato e mirato”, ha notato Google nel suo bollettino di sicurezza di maggio 2022, anche se al momento i dettagli sulla natura degli attacchi sono ancora sconosciuti.
Che lo sfruttamento della vulnerabilità sia comunque potenzialmente elevato è confermato anche dal fatto che l’Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) l’ha aggiunta al suo catalogo delle vulnerabilità sfruttate conosciute già a partire dal mese scorso.
Ecco come aggiornare i dispositivi Android
Come di consueto, Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento si ha notizia solo dello sfruttamento in attacchi reali della vulnerabilità CVE-2021-22600. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
