Google ha pubblicato l’Android Security Bulletin di novembre 2021 contenente gli aggiornamenti di sicurezza che affrontano un totale di 36 vulnerabilità (più altre tre identificate nel Google Play System) che impattano le differenti componenti di sistema, il kernel e i componenti hardware dei fornitori.
Il più grave di questi problemi è una vulnerabilità di sicurezza critica nel componente System che potrebbe consentire a un aggressore remoto che utilizza una trasmissione appositamente creata di eseguire codice arbitrario nel contesto di un processo privilegiato.
Gli aggiornamenti del bollettino di sicurezza Android, come di consueto, sono stati suddivisi in due livelli di patch progressivi identificati come 2021-11-01 security patch level e 2021-11-05 security patch level. A questi si aggiunge un terzo livello di patch identificato come 2021-11-06 security patch level dedicato ad una vulnerabilità zero-day nel kernel Android tracciata come CVE-2021-1048.
Ulteriori dettagli sugli aggiornamenti di sicurezza Android di novembre 2021 sono disponibili sulla pagina ufficiale.
Indice degli argomenti
I dettagli della vulnerabilità zero-day
Come anticipato, nell’Android Security Bulletin di novembre 2021 sono presenti i dettagli della vulnerabilità CVE-2021-1048 che, come si legge nel bollettino di sicurezza, “può essere sotto sfruttamento limitato e mirato”.
La vulnerabilità di tipo “use-after-free” (che, quindi, consente agli aggressori di caricare codice dannoso in una posizione di memoria che è stata liberata una volta che i suoi contenuti precedenti non sono più in uso) è stata identificata nel kernel Android e potrebbe consentire una escalation locale di privilegi.
Il suo exploit, infatti, potrebbe consentire a un attore della minaccia di accedere o fare riferimento alla memoria del dispositivo dopo che è stata liberata, portando a una condizione di “write-what-where” che si traduce nell’esecuzione di codice arbitrario per ottenere il controllo sul sistema di una vittima.
Inoltre, se accoppiato a un bug di esecuzione di codice remoto (Remote Code Execution, RCE), l’exploit della vulnerabilità potrebbe consentire agli attaccanti di ottenere il controllo amministrativo su un sistema mirato.
Al momento non sono stati rilasciati ulteriori dettagli tecnici in quanto i produttori di apparecchiature originali (OEM) stanno attualmente lavorando per integrare la patch negli aggiornamenti delle loro build personalizzate di Android.
Ciò significa che la maggior parte degli utenti Android risulta essere potenzialmente vulnerabile a un attacco mirato.
Google, inoltre, non ha condiviso alcuna informazione sulle peculiarità degli attacchi che sfruttano la vulnerabilità CVE-2021-1048, ma il fatto che siano mirati lascia supporre che gruppi APT nation-state la stiano sfruttando per compiere attività di cyber spionaggio.
Le vulnerabilità del primo security patch level
Con il primo pacchetto di patch, identificato come 2021-11-01 security patch level, sono state corrette 18 vulnerabilità, raggruppate in base al componente di sistema che influenzano.
In particolare, otto vulnerabilità sono state identificate nel modulo Framework di Android, che funge da strato intermedio tra il sistema operativo e il software che lo utilizza. La più grave potrebbe consentire a un attaccante locale di ottenere l’accesso a permessi aggiuntivi senza che sia richiesta alcuna interazione da parte dell’utente.
Le vulnerabilità, cinque di tipo EoP (Elevation of Privilege), due di tipo ID (Information Disclosure) e un’altra di tipo EoP sono classificate con un livello di gravità elevato tranne una classificata come moderata: CVE-2021-0799, CVE-2021-0921, CVE-2021-0923, CVE-2021-0926, CVE-2021-0933, CVE-2020-13871, CVE-2021-0653, CVE-2021-0922.
Altre due vulnerabilità (una di tipo EoP e una di tipo ID), entrambe con indice di gravità elevato, sono state identificate nel componente Media Framework: CVE-2021-0928 e CVE-2021-0650.
La vulnerabilità più grave in questa sezione potrebbe consentire ad un’applicazione maligna locale di aggirare i requisiti di interazione dell’utente per ottenere l’accesso a permessi aggiuntivi.
Infine, altre otto vulnerabilità (le prime due di tipo RCE e classificate come critiche, altre tre di tipo EoP con indice di gravità elevato, due di tipo ID con indice di gravità elevato e una di tipo DoS classificata come moderata) sono state identificate nel componente System: CVE-2021-0918, CVE-2021-0930, CVE-2021-0434, CVE-2021-0649, CVE-2021-0932, CVE-2021-0925, CVE-2021-0931, CVE-2021-0919.
La più grave di queste potrebbe consentire a un aggressore remoto che utilizza una trasmissione appositamente elaborata di eseguire codice arbitrario nel contesto di un processo privilegiato.
Nel primo security patch level sono presenti anche tre aggiornamenti per il Google Play System: CVE-2021-0653, CVE-2021-0650 e CVE-2021-0649 che interessano, rispettivamente, i componenti Tethering, Media Framework components e Tethering.
Le vulnerabilità del secondo security patch level
Con il secondo pacchetto di patch, identificato come 2021-11-05 security patch level, sono state corrette altre 17 vulnerabilità, raggruppate in base al componente di sistema che influenzano e dovrebbero essere applicate a seconda dell’hardware e del sistema operativo installati sul dispositivo.
Tre vulnerabilità di gravità elevata e di tipo EoP interessano i componenti del kernel Android: CVE-2021-0920, CVE-2021-0924, CVE-2021-0929.
Altre due vulnerabilità (di tipo RCE e EoP, classificate rispettivamente con un indice di gravità critico ed elevato), interessano il componente Android TV: CVE-2021-0889, CVE-2021-0927.
La vulnerabilità più grave in questa sezione potrebbe permettere ad un attaccante di prossimità di effettuare il pairing silenzioso con una TV ed eseguire codice arbitrario senza privilegi o interazione dell’utente.
Un’altra vulnerabilità è stata identificata nei componenti MediaTek: CVE-2021-0672. I dettagli tecnici e la valutazione della gravità della vulnerabilità sono forniti direttamente da MediaTek nel rispettivo bollettino di sicurezza.
Infine, nel secondo security patch level sono presenti i dettagli di altre 11 vulnerabilità nei componenti Qualcomm closed-source: anche in questo caso, i dettagli tecnici e la valutazione della gravità delle vulnerabilità sono forniti direttamente da Qualcomm nei rispettivi bollettini di sicurezza.
Aggiornamenti Android novembre 2021: come installare le patch
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento, come dicevamo, non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
