Il team Project Zero di Google ha pubblicato ulteriori informazioni in merito a quattro vulnerabilità di sicurezza Android che sono state già sfruttate in natura come zero-day prima di essere patchate all’inizio di questo mese in occasione del rilascio del Security Bulletin di maggio 2021.
In base alle informazioni condivise dopo che gli aggiornamenti di sicurezza Android di questo mese sono stati pubblicati, si evince che gli attacchi che hanno tentato di sfruttare queste falle sono stati mirati e hanno colpito un numero limitato di utenti.
Originariamente, il bollettino di sicurezza di maggio rilasciato ad inizio mese da Google non riportava informazioni relative all’effettivo sfruttamento delle vulnerabilità segnalate. Tuttavia in un recente tweet, la security researcher Maddie Stone di Google ha dichiarato che il bollettino è stato aggiornato confermando tra l’altro che quattro delle cinquanta vulnerabilità refertate potrebbero essere state sfruttate in modo mirato:
- CVE-2021-1905
- CVE-2021-1906
- CVE-2021-28663
- CVE-2021-28664
Le quattro vulnerabilità di Android hanno un impatto sui componenti Qualcomm GPU e Arm Mali GPU Driver. Entrambi i chipmaker hanno pubblicato ulteriori dettagli su ciascuna delle vulnerabilità tramite avvisi di sicurezza emessi separatamente rispetto all’Android Security Bulletin di Google (avviso di sicurezza Qualcomm, avviso di sicurezza Arm).
Alla luce di queste nuove informazioni di sicurezza è dunque importante installare sul proprio dispositivo, se interessato dalle vulnerabilità, gli aggiornamenti di questo mese appena verranno resi disponibili dal produttore hardware.
Indice degli argomenti
Le vulnerabilità in Qualcomm GPU
Due delle quattro vulnerabilità sono relative alla GPU (Graphic Processing Unit) di Qualcomm Adreno, utilizzata dai SoC (System-on-Chip) Snapdragon in ambiente mobile su dispositivi quali smartphone, tablet e smart book.
In particolare, la CVE-2021-1905, classificata come grave e relativa alla gestione della memoria, consentirebbe di eseguire codice dannoso con privilegi di root illimitati permettendo sia la violazione di dati personali che l’installazione di ulteriori malware con cui i cyber criminali potrebbero riuscire a prendere il pieno controllo del dispositivo target.
L’altra vulnerabilità, la CVE-2021-1906, sarebbe relativa invece a un difetto logico che può causare errori nell’allocazione di nuovi indirizzi di memoria GPU ed è stata classificata con un livello di gravità moderata.
Le vulnerabilità in ARM Mali GPU
Le altre due vulnerabilità, CVE-2021-28663 e CVE-2021-28664, entrambe classificate come gravi e relative a driver che funzionano con le GPU ARM Mali (utilizzate dai processori MediaTek) consentirebbero tutte l’accesso root sui dispositivi vulnerabili.
Anche in questo caso, quindi, il rischio è che un eventuale sfruttamento delle vulnerabilità potrebbe consentire ad un attaccante di prendere il pieno controllo del dispositivo Android mirato.
Probabili attacchi alla supply chain
La complessità delle modalità di attacco richieste per sfruttare tali vulnerabilità porta comunque a pensare che le azioni malevole, a cui allude Google, potrebbero essere state opera di gruppi ben organizzati, probabilmente associati ad agenzie governative o servizi di spionaggio interessati ad avvelenare le catene di produzione.
Conclusioni
Sebbene Google abbia identificato e chiuso le quattro vulnerabilità zero-day che riguardano non tanto il proprio sistema operativo Android quanto le GPU in uso su diversi modelli di dispositivi mobile, purtroppo solo i possessori di smartphone Pixel di Google dovrebbero ricevere una patch già nelle prossime ore.
Tutti gli altri, invece, dovranno attendere che i relativi produttori rilascino un apposito aggiornamento, il che si spera avvenga quanto prima.
I problemi di sicurezza, dunque, sembrano tutt’altro che risolti.
