In occasione del rilascio dell’Android Security Bulletin di febbraio, Google ha corretto una vulnerabilità critica identificata come CVE-2020-0022 e rinominata BlueFrag che riguarda il sistema Bluetooth di Android.
Qualora venisse sfruttata positivamente, consentirebbe ad un aggressore remoto di eseguire codice arbitrario a distanza e prendere il controllo completo del dispositivo con conseguente furto di dati personali.
La vulnerabilità, inoltre, potrebbe essere potenzialmente utilizzata per diffondere malware da un dispositivo all’altro attraverso la connessione Bluetooth, proprio come un worm. La trasmissione del codice malevolo, ovviamente, è limitata alla breve distanza coperta dal Bluetooth.
Indice degli argomenti
BlueFrag: i dettagli della vulnerabilità
BlueFrag interessa le versioni di Android dalla 8.0 “Oreo” alla 9.0 “Pie” e non è necessaria alcuna interazione da parte dell’utente per essere sfruttata. Per motivi tecnici legati alla differente struttura logica del codice sorgente, la stessa vulnerabilità è stata invece classificata con un indice di gravità moderato su Android 10 in quanto, qualora venisse sfruttata positivamente, porterebbe soltanto ad un denial of service sul sistema Bluetooth con conseguente crash.
Anche le versioni di Android precedenti alla 8.0 potrebbero essere interessate dalla vulnerabilità, ma al momento non è stato valutato l’impatto.
Per poter sfruttare la vulnerabilità, un eventuale attaccante dovrebbe trovarsi nel raggio d’azione del segnale Bluetooth e conoscere l’indirizzo MAC Bluetooth dell’apparecchio bersaglio. Su alcuni dispositivi quest’ultima informazione può essere facilmente identificata deducendola dall’indirizzo MAC della radio Wi-Fi.
Oltre all’immediata installazione della patch rilasciata da Google, è possibile rimediare alla vulnerabilità BlueFrag al sistema Bluetooth di Android adottando alcune semplici precauzioni:
- spegnere il Bluetooth e accenderlo solo quando necessario;
- mantenere il dispositivo non rilevabile da altri presenti nelle vicinanze.
Aggiornamenti Android di febbraio: ecco come installarli
Con l’Android Security Bulletin di febbraio Google ha corretto in tutto 25 vulnerabilità individuate in diverse componenti del suo sistema operativo mobile.
Di queste vulnerabilità, 2 tra cui quella soprannominata BlueFrag sono state classificate come critiche e 23 con un indice di gravità elevato. Le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice da remoto con privilegi elevati sul dispositivo o causare condizioni di denial of service.
Come sempre, gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi in due livelli di patch progressivi identificati come 2020-02-01 security patch level e 2020-02-05 security patch level.
Tutti i dettagli sugli aggiornamenti di sicurezza Android di febbraio sono disponibili sulla pagina ufficiale.
Come di consueto, Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
