Google ha rilasciato l’Android Security Bulletin per il mese di settembre 2022 contenente gli aggiornamenti che correggono le vulnerabilità di sicurezza che impattano i dispositivi Pixel di Google e gli smartphone Android di terze parti.
In particolare, le patch presenti nel nuovo pacchetto cumulativo di aggiornamenti risolvono 51 problemi di sicurezza: il più grave di questi, identificato nel modulo Framework, potrebbe portare a un’escalation di privilegi in locale senza la necessità di ulteriori privilegi di esecuzione.
Come di consueto, gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi in due livelli di patch progressivi identificati come 2022-09-01 security patch level e 2022-09-05 security patch level.
Ulteriori dettagli sugli aggiornamenti di sicurezza Android di settembre 2022 sono disponibili sulla pagina ufficiale.
Indice degli argomenti
Le vulnerabilità del primo security patch level
Con il primo pacchetto di patch, identificato come 2022-09-01 security patch level, sono state corrette 15 vulnerabilità, raggruppate in base al componente di sistema che influenzano.
Quattro vulnerabilità, tutte di tipo Elevation of Privilege (EoP) e classificate con un indice di gravità elevato, sono state identificate nel modulo Android runtime: CVE-2022-22822, CVE-2022-23852, CVE-2022-23990, CVE-2022-25314. La più grave, se sfruttata con successo da un attaccante, potrebbe portare a un’escalation locale dei privilegi senza la necessità di ulteriori privilegi di esecuzione.
Altre cinque vulnerabilità sono state identificate nel modulo Framework: CVE-2022-20218, CVE-2022-20392, CVE-2022-20197, CVE-2022-20393, CVE-2020-0500. Le prime tre sono di tipo EoP e sono classificate due con un indice di gravità elevato e una di gravità moderata. Le altre due sono di tipo ID (Information Disclosure) e classificate con un indice di gravità, rispettivamente, elevato e moderato.
La vulnerabilità più grave di questa sezione potrebbe portare a un’escalation locale dei privilegi senza la necessità di ulteriori privilegi di esecuzione.
Soni tre, invece, le vulnerabilità identificate nel modulo System. Tracciate come CVE-2022-20395, CVE-2022-20398 e CVE-2022-20396, sono due di tipo EoP e una di tipo ID, tutte con indice di gravità elevato.
Anche in questo caso, la vulnerabilità più grave di questa sezione potrebbe portare a un’escalation locale dei privilegi senza la necessità di ulteriori privilegi di esecuzione.
Nello primo pacchetto di patch dell’Android Security Bulletin di settembre 2022 sono presenti anche tre aggiornamenti per il Google Play System: tracciati come CVE-2022-20218, CVE-2022-20395 e CVE-2022-20398, interessano rispettivamente i componenti Permission Controller, MediaProvider e WiFi.
Le vulnerabilità del secondo security patch level
Sono 36 le vulnerabilità corrette in occasione del rilascio dell’Android Security Bulletin di settembre 2022 con il secondo pacchetto di patch, identificato come 2022-09-05 security patch level.
Le prime due sono state identificate nel modulo Kernel di Android: tracciate come CVE-2022-20399 e CVE-2022-23960, sono entrambe di tipo ID e classificate con un indice di gravità elevato.
La vulnerabilità più grave di questa sezione potrebbe portare alla divulgazione locale di informazioni sui dati di rete senza la necessità di ulteriori privilegi di esecuzione.
Altre due vulnerabilità sono state identificate nel Kernel components: CVE-2021-4083 (relativa al componente Kernel) e CVE-2022-29582 (relativa al componente fs). In questo caso si tratta di due problemi di sicurezza di tipo EoP e con indice di gravità elevato.
In questo caso, la vulnerabilità più grave potrebbe portare all’escalation locale dei privilegi nelle librerie di sistema senza bisogno di ulteriori privilegi di esecuzione.
Tutte le altre vulnerabilità corrette con il secondo pacchetto cumulativo di patch dell’Android Security Bulletin di settembre 2022 sono state identificate nei componenti di Imagination Technologies, MediaTek, Unisoc e Qualcomm. I dettagli tecnici e la valutazione della gravità di queste vulnerabilità sono forniti direttamente dai rispettivi produttori di componenti nei corrispondenti bollettini di sicurezza.
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
