Corrette due vulnerabilità critiche su Android, ma milioni di dispositivi ancora a rischio

Corrette due vulnerabilità critiche su Android, ma milioni di dispositivi ancora a rischio

Google ha corretto alcune vulnerabilità critiche su Android, ma purtroppo sappiamo già che molti dispositivi riceveranno in ritardo, o non riceveranno del tutto, le nuove correzioni

di pubblicata il , alle 13:31 nel canale Telefonia
GoogleAndroid
 

All'interno di un aggiornamento rilasciato lo scorso giovedì Google ha corretto due vulnerabilità critiche presenti su una vasta percentuale di dispositivi in circolazione e su alcune app scaricate circa 2,5 milioni di volte complessivamente sul Play Store. Le due vulnerabilità ricordano la famiglia Stagefright che è balzata agli onori della cronaca lo scorso anno e, sebbene siano state corrette da Big G, rimarranno attive su molti dispositivi fino a quando (e se) i produttori non rilasceranno le corrispettive patch di sicurezza. Questo lascia ad utenti malintenzionati la possibilità di eseguire exploit sugli smartphone del robottino verde.

La prima delle due vulnerabilità è stata scoperta da Mark Brand, ricercatore del team di sicurezza Project Zero di Google. Viene conosciuta come CVE-2016-3861 e consente all'aggressore di eseguire malware oppure ottenere privilegi locali. Si tratta di una vulnerabilità critica, secondo il ricercatore, soprattutto perché può venire sfruttata in molte modalità differenti, tuttavia non dovrebbe essere complicato rilevare attività sospette che utilizzano il bug. Il ricercatore non ha dichiarato qual è la prima versione di Android che ha introdotto la falla di sistema, indicando solo che è presente su molte delle release più recenti.

Stando ad un portavoce di Google, però, si tratta di una vulnerabilità progettata da Google solamente per scopi di ricerca, che richiede massicce modifiche al dispositivo per essere sfruttata anche in condizioni d'uso realistiche.

L'aggiornamento di Google fornisce una correzione anche ad un'altra vulnerabilità che fa uso di file multimediali per introdurre codice malevolo sul dispositivo, in maniera simile a Stagefright. Nota come CVE-2016-3862, il bug consente di usare immagini JPG formattate ad-hoc con finalità malevole. Le immagini contengono codice dannoso all'interno dei dati EXIF e, inviate sul dispositivo, possono infettarlo senza alcuna interazione da parte dell'utente: "Per un aggressore evoluto si tratta di un bug relativamente semplice da scovare e da sfruttare", ha dichiarato Tim Strazzere, ricercatore che ha scoperto la vulnerabilità riportandola a Google.

C'è dell'altro: la scorsa settimana Checkpoint aveva scoperto che alcune applicazioni scaricate 2,5 milioni di volte su Google Play erano affette da un malware della famiglia DressCode, sfruttato principalmente per generare click fraudolenti sui banner pubblicitari. La vulnerabilità, che è stata trovata su oltre 40 applicazioni disponibili su Google Play Store, può tuttavia essere sfruttata anche per penetrare nelle reti private e recuperare file sensibili da esse. Allo stesso modo, Checkpoint riportava in una nota separata della presenza di app contenenti il malware CallJam, che chiama numeri premium a pagamento senza richiedere alcun permesso all'utente.

Le diverse applicazioni (fra cui Gems Chest for Clash Royale che, da sola, è stata scaricata dalle 100 mila alle 500 mila volte) sono state rimosse dal Google Play Store. All'interno del comunicato pubblicato in questa pagina, Google comunque sprona "tutti i clienti ad accettare i nuovi update sui propri dispositivi", qualora naturalmente fosse arrivata la notifica di aggiornamento.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
yurizena12 Settembre 2016, 14:50 #1

cambio metodo di update

dovrebbero forzare gli update direttamente da google per quanto riguarda la security, anche per dispositivi non nexus/pixel anche perchè sarebbe più corretto anzichè aspettare che anche i vari produttori rilascino tali update.
pabloski12 Settembre 2016, 17:05 #2
Originariamente inviato da: yurizena
dovrebbero forzare gli update direttamente da google per quanto riguarda la security, anche per dispositivi non nexus/pixel anche perchè sarebbe più corretto anzichè aspettare che anche i vari produttori rilascino tali update.


Se ne e' discusso piu' volte su questo forum. Ovviamente la conclusione e' che non si puo' fare, visto che gli OEM customizzano pesantamente Android. Robe grosse, driver e compagnia, non solo il colore delle status bar e i font di sistema.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^