È stata scoperta una nuova vulnerabilità zero-day in Android che consente ad un attaccante che ha già avuto accesso fisico allo smartphone della vittima di ottenere privilegi amministrativi elevati per prenderne il pieno controllo.
La vulnerabilità è stata individuata dai ricercatori della Trend Micro Zero Day Initiative (ZDI) all’interno del driver v4l2 (Video4Linux 2) utilizzato da Android per la gestione dei contenuti multimediali e sfrutta il modo in cui vengono gestiti i dati di input.
Indice degli argomenti
Vulnerabilità zero-day in Android: i dettagli
In particolare, i ricercatori hanno scoperto che un componente all’interno del driver v4l2 non esegue alcuna convalida sugli oggetti trasferiti al dispositivo target prima di eseguire operazioni su di essi.
Sfruttando questo comportamento, un attaccante con accesso fisico al dispositivo Android e in grado di eseguire codice arbitrario potrebbe aumentare i propri privilegi a livello di kernel fino ad ottenere accesso come root e prendere quindi il controllo completo del dispositivo target.
In pratica, un eventuale aggressore non dovrebbe fare altro che convincere la vittima a scaricare e installare dal Play Store o da store di terze parti un’applicazione malevola appositamente creata in grado di interfacciarsi con il driver v4l2.
Le probabilità di sfruttare questa nuova vulnerabilità zero-day di Android sono dunque abbastanza basse, ma qualora ciò dovesse accadere il livello di pericolosità sarebbe davvero molto elevato in quanto l’attaccante avrebbe pieno accesso alla configurazione di sistema dello smartphone, alle impostazioni di rete e a tutti i file e alle informazioni personali e riservate dell’utente.
Google non ha ancora rilasciato la patch
I ricercatori della Zero Day Initiative di Trend Micro hanno inizialmente segnalato la vulnerabilità a Google il 13 marzo scorso e la conferma della sua esistenza da parte di Big G è arrivata il successivo 28 giugno.
I dettagli tecnici sono stati quindi resi pubblici dopo che i molteplici tentativi di Google di porre rimedio alla falla di sicurezza del suo sistema operativo mobile non hanno portato ad alcun risultato positivo.
La rivelazione pubblica della vulnerabilità arriva nella stessa settimana in cui Google ha rilasciato il suo Android Security Bulletin di settembre contenente, tra le altre, due patch (CVE-2019-2176 e CVE-2019-2108) per altrettante vulnerabilità critiche di tipo RCE (Remote Code Execution) individuate nel modulo Media framework di Android e che potrebbero consentire a un attaccante remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato.
Tuttavia, la nuova vulnerabilità zero-day è stata catalogata in un differente bollettino di sicurezza e quindi al momento non esiste alcuna patch che ne possa in qualche modo mitigare la pericolosità. Per una possibile soluzione del problema di sicurezza occorrerà quindi aspettare il prossimo Android Security Bulletin oppure il rilascio di una specifica patch di sicurezza.
Vulnerabilità zero-day in Android: come mettersi al riparo
Alla luce di ciò e data la natura della nuova vulnerabilità zero-day di Android, l’unica strategia di mitigazione applicabile e con qualche possibilità di successo è quella di limitare l’interazione con il driver v4l2.
In pratica, soltanto i client e i server certificati dovrebbero avere l’autorizzazione per l’accesso al modulo multimediale di Android. Ciò potrebbe essere realizzato in diversi modi e in particolare modo adottando precise regole di firewalling o policy di sicurezza basate su white list di applicazioni e servizi autorizzati.
Al momento, la vulnerabilità zero-day di Android non ha ancora ricevuto alcuna classificazione, ma sarebbe comunque un errore sottovalutarla: gli exploit di tipo RCE, infatti, sono facilmente sfruttabili all’interno dell’ecosistema Android a differenza della maggior parte degli altri sistemi operativi.
Basti pensare, ad esempio, al famigerato exploit DirtyCOW sfruttato dal famoso spyware Exodus che consente ai criminal hacker di ottenere l’accesso come root, quindi con privilegi di amministratore, sui telefoni infetti. L’exploit, identificato nel 2016 come CVE-2016-5195, è collegato ad una vulnerabilità vecchia di una decina d’anni presente in quasi tutte le versioni del sistema operativo Linux rilasciate fino ad allora e, quindi, anche in Android in quanto basato sul kernel Linux.
