Scoperta falla di sicurezza critica su Android: coinvolti smartphone Pixel, Samsung, Huawei e Xiaomi

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/telefo...omi_84804.html

Il team Project Zero di Google ha scoperto una falla di sicurezza critica su Android. La patch è già disponibile ed è stata notificata ai partner commerciali

Click sul link per visualizzare la notizia.

[Tedturb0]

Sent from my Sony Xperia X

[daniele86Z]

Almeno qui le vulnerabilità vengono rilevate, corrette, pubblicate.. anche da terzi... dall'altra parte, non sai niente, anzi.. c'è un analisi del codice ?
Tutto sommato non credo che passerò all'SEII

[pabloski]

Quote:

Originariamente inviato da daniele86Z

Almeno qui le vulnerabilità vengono rilevate, corrette, pubblicate.. anche da terzi... dall'altra parte, non sai niente, anzi.. c'è un analisi del codice ?
Tutto sommato non credo che passerò all'SEII

Apple? Ho postato un paio di link nei commenti ad alcuni, soliti, articoli che incensano la mitica Apple.

Si tratta di falle grosse quanto un palazzo, con exploit kit installati su centinaia di migliaia di siti web che hanno un traffico di milioni di utenti al mese.

Curiosamente hwupgrade non pubblica mai queste news.

[Ginopilot]

Quote:

Originariamente inviato da pabloski

Apple? Ho postato un paio di link nei commenti ad alcuni, soliti, articoli che incensano la mitica Apple.

Si tratta di falle grosse quanto un palazzo, con exploit kit installati su centinaia di migliaia di siti web che hanno un traffico di milioni di utenti al mese.

Curiosamente hwupgrade non pubblica mai queste news.

Apple fixa tutto su tutti i dispositivi. Questa falla android probabilmente e' ancora disponibile su dispositivi di qualche anno fa e non verra' mai implementata su dispositivi successivi.

[pabloski]

Quote:

Originariamente inviato da Ginopilot

Apple fixa tutto su tutti i dispositivi. Questa falla android probabilmente e' ancora disponibile su dispositivi di qualche anno fa e non verra' mai implementata su dispositivi successivi.

E che vuol dire? Ci sono decine di exploit, molti 0-day ( cioè sconosciuti pure ad Apple ), che vengono usati in questo momento per infettare iPhone, iPad e Mac.

E sarebbe importante che una testata giornalistica ne parlasse. Altrimenti ti ritrovi con utenti che scrivono ( e pensano ): "io pago di più, ma sto al sicuro".

Mi sa che non avete idea di quale mercato ci sia dietro gli exploit. Ne vengono prodotti di nuovi ogni giorno, per falle non fixate e venduti ( a caro prezzo ) sul mercato nero.

Pensare di essere al sicuro solo perchè si ha una mela stampata sul retro, è da incoscienti.

[superlex]

Quote:

Originariamente inviato da pabloski

E che vuol dire? Ci sono decine di exploit, molti 0-day ( cioè sconosciuti pure ad Apple ), che vengono usati in questo momento per infettare iPhone, iPad e Mac.

E sarebbe importante che una testata giornalistica ne parlasse. Altrimenti ti ritrovi con utenti che scrivono ( e pensano ): "io pago di più, ma sto al sicuro".

Mi sa che non avete idea di quale mercato ci sia dietro gli exploit. Ne vengono prodotti di nuovi ogni giorno, per falle non fixate e venduti ( a caro prezzo ) sul mercato nero.

Pensare di essere al sicuro solo perchè si ha una mela stampata sul retro, è da incoscienti.

Nessun sistema operativo è esente da vulnerabilità, quello che intendeva Ginopilot è che Apple aggiorna tutti i suoi dispositivi contemporaneamente quando ne viene scoperta e corretta una, mentre su Android sta al produttore e quindi.. non si sa quando e se il fix verrà applicato.

Ma non capisco cosa c'entri Apple qui..

Piuttosto, la vulnerabilità in oggetto è contrassegnata come CVE-2019-2215 ma non ne vedo traccia nelle patch di ottobre
https://source.android.com/security/bulletin/2019-10-01
Solo per i Pixel viene riportato

Quote:

Pixel 1 and Pixel 2 devices will receive the patch for CVE-2019-2215 as part of the October update. Pixel 3 and Pixel 3a devices are not vulnerable to this issue.

https://source.android.com/security/...xel/2019-10-01

[Ginopilot]

Quote:

Originariamente inviato da pabloski

E che vuol dire? Ci sono decine di exploit, molti 0-day ( cioè sconosciuti pure ad Apple ), che vengono usati in questo momento per infettare iPhone, iPad e Mac.

E sarebbe importante che una testata giornalistica ne parlasse. Altrimenti ti ritrovi con utenti che scrivono ( e pensano ): "io pago di più, ma sto al sicuro".

Mi sa che non avete idea di quale mercato ci sia dietro gli exploit. Ne vengono prodotti di nuovi ogni giorno, per falle non fixate e venduti ( a caro prezzo ) sul mercato nero.

Pensare di essere al sicuro solo perchè si ha una mela stampata sul retro, è da incoscienti.

Gli 0-day sconosciuti ci sono per qualsiasi sistema. Ma al contrario di apple, i dispositivi android non completamente abbandonati dopo 3 anni dal lancio, molti anche dopo appena 1. Mentre spesso continuano ad essere commercializzati anche senza piu' supporto. Follia.

[cata81]

E quel miliardo di device abbandonati a se stessi? frammentazione: Croce e delizia del robottino.

[s0nnyd3marco]

Purtroppo sembra che il concetto di aggiornamenti di sicurezza non sia ancora percepito come "selling point" da molti produttori di telefoni Android.

Pero' se uno si sceglie dispositivi Android One ha aggiornamenti di sicurezza garantiti per 3 anni

Quote:

Monthly security updates to be supported for at least 3 years after initial phone release

Considerando la differenza di prezzo con uno smartphone Apple, hai un periodo di copertura migliore.

[Phoenix Fire]

Quote:

Originariamente inviato da Ginopilot

Gli 0-day sconosciuti ci sono per qualsiasi sistema. Ma al contrario di apple, i dispositivi android non completamente abbandonati dopo 3 anni dal lancio, molti anche dopo appena 1. Mentre spesso continuano ad essere commercializzati anche senza piu' supporto. Follia.

ottima cosa di Apple è il supporto, pessima cosa di Apple è il prezzo, per certe fasce si fa prima a cambiare dispositivo ogni anno (quindi si rimane sempre coperti) e si spende la stessa cifra

[gd350turbo]

Quote:

Originariamente inviato da Phoenix Fire

ottima cosa di Apple è il supporto, pessima cosa di Apple è il prezzo, per certe fasce si fa prima a cambiare dispositivo ogni anno (quindi si rimane sempre coperti) e si spende la stessa cifra

Ed hai il telefono sempre nuovo...

[superlex]

Quote:

Originariamente inviato da superlex

Piuttosto, la vulnerabilità in oggetto è contrassegnata come CVE-2019-2215 ma non ne vedo traccia nelle patch di ottobre
https://source.android.com/security/bulletin/2019-10-01
Solo per i Pixel viene riportato

https://source.android.com/security/...xel/2019-10-01

Ecco appunto:
https://www.sammobile.com/news/samsu...patch-detailed

Quote:

[..]at this time we can’t be sure if a fix is included in the October patch Samsung is rolling out.

[superlex]

Quote:

Originariamente inviato da s0nnyd3marco

Considerando la differenza di prezzo con uno smartphone Apple, hai un periodo di copertura migliore.

Ma anche con un Pixel non "a"

[Mory]

Il supporto Apple è uno dei migliori, quando hai un problema spesso ti cambia il dispositivo...per forza, lo paghi il doppio del valore al momento dell'acquisto, normale che poi te ne dia 2

[elgabro.]

Quote:

Originariamente inviato da Mory

Il supporto Apple è uno dei migliori, quando hai un problema spesso ti cambia il dispositivo...per forza, lo paghi il doppio del valore al momento dell'acquisto, normale che poi te ne dia 2

questa è una leggenda metropolitana, il mio ipad pro 2017 ha una bella macchia bianca sullo schermo bella evidente e non mi hanno sostituito nulla, mi hanno chiesto 500 euro per la riparazione, ed era ancora in garanzia.

[superlex]

Quote:

Originariamente inviato da superlex

Piuttosto, la vulnerabilità in oggetto è contrassegnata come CVE-2019-2215 ma non ne vedo traccia nelle patch di ottobre
https://source.android.com/security/bulletin/2019-10-01
Solo per i Pixel viene riportato

https://source.android.com/security/...xel/2019-10-01

Mi rispondo da solo, le patch correttive di questa vulnerabilità sono quelle del 6-10-2019:
https://source.android.com/security/...-10-06-details

[Ginopilot]

Quote:

Originariamente inviato da superlex

Mi rispondo da solo, le patch correttive di questa vulnerabilità sono quelle del 6-10-2019:
https://source.android.com/security/...-10-06-details

Annamo bene annamo, per i prossimi minimo 4 mesi oltre il 90% dei dispositivi in commercio vulnerabili, ma ad essere proprio ottimisti.

[gd350turbo]

Dipende...
Io ho le patch di sicurezza al 1-9-2019
presumibilmente con l'aggiornamento del prossimo mese, ci sarà o al massimo quello dopo...
Questo per il cellulare, per l'autoradio android da 50 euro, dubito, ma dubito anche che essa possa essere vittima di attachi !

[superlex]

Quote:

Originariamente inviato da Ginopilot

Annamo bene annamo, per i prossimi minimo 4 mesi oltre il 90% dei dispositivi in commercio vulnerabili, ma ad essere proprio ottimisti.

Per il prossimo mese quasi sicuramente, già Nokia 6.1 si è aggiornato con quelle dell'1, quindi patch rimandata a novembre..