È stato rilasciato il primo Android Security Bulletin dell’anno, contenente gli aggiornamenti per 35 vulnerabilità identificate nelle varie componenti software del sistema operativo di Google.
La più grave delle vulnerabilità (CVE-2021-0959) corrette con il pacchetto cumulativo di patch di gennaio 2022 è stata identificata nel modulo runtime di Android e impatta sui dispositivi che eseguono Android 12: se sfruttata, potrebbe consentire a un attaccante locale di aggirare le restrizioni di memoria per ottenere l’accesso a permessi aggiuntivi.
Come di consueto, gli aggiornamenti del nuovo Android Security Bulletin sono stati suddivisi in due livelli di patch progressivi identificati come 2022-01-01 security patch level e 2022-01-05 security patch level.
Indice degli argomenti
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
Le vulnerabilità del primo security patch level
Con il primo pacchetto di patch, identificato come 2022-01-01 security patch level, sono state corrette 16 vulnerabilità, raggruppate in base al componente di sistema che influenzano.
Le prime quattro vulnerabilità sono state identificate nel modulo Framework di Android, che funge da strato intermedio tra il sistema operativo e il software che lo utilizza. La più grave potrebbe consentire ad un’applicazione maligna locale di aggirare i requisiti di interazione dell’utente per ottenere l’accesso a permessi aggiuntivi.
Le vulnerabilità, due di tipo EoP (Elevation of Privilege), una di tipo ID (Information Disclosure) e una di tipo DoS (Denial of Service), sono classificate tutte con un livello di gravità elevato: CVE-2021-39630, CVE-2021-39632, CVE-2020-0338, CVE-2021-0934.
Un’altra vulnerabilità, di tipo EoP con indice di gravità elevato e tracciata come CVE-2021-39623, è stata identificata nel modulo Media Framework: se sfruttata, potrebbe portare a un’escalation remota dei privilegi senza la necessità di ulteriori privilegi di esecuzione o interazione dell’utente.
Infine, altre undici vulnerabilità sono state identificate nel modulo System. La più grave potrebbe consentire a un attaccante con privilegi locali di installare pacchetti esistenti senza richiedere il consenso dell’utente. Tutte le vulnerabilità hanno un indice di gravità elevato e sono, nell’ordine, otto di tipo EoP, due di tipo ID e una di tipo DoS: CVE-2021-39618, CVE-2021-39620, CVE-2021-39621, CVE-2021-39622, CVE-2021-39625, CVE-2021-39626, CVE-2021-39627, CVE-2021-39629, CVE-2021-0643, CVE-2021-39628, CVE-2021-39659.
Le vulnerabilità del secondo security patch level
Con il secondo pacchetto di patch, identificato come 2022-01-05 security patch level, sono state corrette altre 20 vulnerabilità, raggruppate in base al componente di sistema che influenzano e dovrebbero essere applicate a seconda dell’hardware e del sistema operativo installati sul dispositivo.
La vulnerabilità più grave del secondo security patch level e di tutto l’Android Security Bulletin di gennaio 2022 è stata identificata nel componente Android runtime. Tracciata come CVE-2021-0959 e classificata con un indice di gravità elevato, impatta sui dispositivi che installano Android 12.
La vulnerabilità è di tipo EoP e, se sfruttata, potrebbe consentire a un attaccante locale di aggirare le restrizioni di memoria per ottenere l’accesso a permessi aggiuntivi.
Altre tre vulnerabilità (due di tipo EoP e una di tipo ID, tutte con indice di gravità elevato) sono state identificate nelle componenti del Kernel di Android: CVE-2020-29368, CVE-2021-39634, CVE-2021-39633. La più grave delle tre potrebbe portare a un’escalation locale di privilegi a causa di una condizione di gara, senza ulteriori privilegi di esecuzione o interazione dell’utente necessari.
Per correggere queste vulnerabilità, a partire da Android 11 la versione di kernel è stata aggiornata dalla 5.4 alla 5.4.86.
Altre cinque vulnerabilità sono state identificate nelle componenti MediaTek: CVE-2021-31345, CVE-2021-31346, CVE-2021-31890, CVE-2021-40148, CVE-2021-31889. I dettagli tecnici e la valutazione della gravità della vulnerabilità sono forniti direttamente da MediaTek nel rispettivo bollettino di sicurezza.
Un’altra vulnerabilità (CVE-2021-1049) con indice di gravità elevato è stata identificata nelle componenti Unisoc. I dettagli tecnici e la valutazione della gravità della vulnerabilità sono forniti direttamente da Unisoc nel rispettivo bollettino di sicurezza.
Altre due vulnerabilità con indice di gravità elevato (CVE-2021-30319, CVE-2021-30353) sono state identificate nelle componenti Qualcomm. Anche in questo caso, i dettagli tecnici e la valutazione della gravità della vulnerabilità sono forniti direttamente da Qualcomm nel rispettivo bollettino di sicurezza.
Infine, sette vulnerabilità (una con indice di gravità critico e le altre con indice di gravità elevato) sono state identificate nei componenti Qualcomm closed-source: CVE-2021-30285, CVE-2021-30287, CVE-2021-30300, CVE-2021-30301, CVE-2021-30307, CVE-2021-30308, CVE-2021-30311.
anche in questo caso, i dettagli tecnici e la valutazione della gravità delle vulnerabilità sono forniti direttamente da Qualcomm nei rispettivi bollettini di sicurezza.
Ulteriori dettagli sugli aggiornamenti di sicurezza Android di gennaio 2022 sono disponibili sulla pagina ufficiale.
