Scoperta falla di sicurezza critica su Android: coinvolti smartphone Pixel, Samsung, Huawei e Xiaomi

Scoperta falla di sicurezza critica su Android: coinvolti smartphone Pixel, Samsung, Huawei e Xiaomi

Il team Project Zero di Google ha scoperto una falla di sicurezza critica su Android. La patch è già disponibile ed è stata notificata ai partner commerciali

di pubblicata il , alle 08:41 nel canale Telefonia
GoogleAndroid
 

Ricercatori di sicurezza di Project Zero (Google) hanno scoperto una vulnerabilità su Android che sembra già essere sfruttata pubblicamente. A riportare la novità è stato ZDNet, che ha indicato alcuni fra gli smartphone che presentano il bug: fra questi nomi come Galaxy S7, S8, S9, e anche Huawei P20 o i diversi Google Pixel e Google Pixel 2.

Un portavoce del team Android ha confermato che se si installa un'app malevola sul device target o si abbina l'attacco ad un secondo exploit con un programma come un browser web è possibile "compromettere del tutto" il device target. Google ha già verificato che l'exploit è stato già utilizzato e sfruttato attraverso il suo Threat Analysis Group, e sembra ci siano tracce provenienti da NSO Group, che potrebbe aver usato o venduto lo strumento.

NSO è un fornitore di spyware israeliano che negli scorsi mesi è riuscito a penetrare anche su WhatsApp inoculando uno dei suoi spyware attraverso le chiamate gestite dal servizio. NSO Group ha recentemente smentito di essere alla base del nuovo attacco scoperto dal Project Zero, dichiarando alla stampa internazionale che "non vende, né mai venderà exploit o vulnerabilità". NSO ha specificato inoltre che la sua opera si concentra nello "sviluppo di prodotti progettati per aiutarele autorità di legge a salvare vite".

Visto che il bug è già stato utilizzato e sfruttato da terzi, Project Zero ha dato al team Android sette giorni di tempo prima di divulgare pubblicamente la notizia. È curioso notare, inoltre, che la falla è stata trovata il 27 Settembre 2019, tuttavia la stessa falla era stata segnalata anni fa e corretta a Dicembre 2017. Pare, insomma, che la vulnerabilità sia riemersa in una versione successiva del SO, e adesso è stata corretta nuovamente.

Di seguito riportiamo la lista dei dispositivi che si credono vulnerabili al nuovo bug divulgato, tuttavia lo stesso Project Zero avvisa che potrebbe non essere completa:

  • Pixel
  • Pixel XL
  • Pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Smartphone LG con Android Oreo
  • Samsung Galaxy S7
  • Samsung Galaxy S8
  • Samsung Galaxy S9

Il team Android ha già comunicato che il bug era davvero presente e si trattava di un problema di "gravità elevata". La patch è già disponibile su Android Common Kernel e i partner commerciali sono stati informati: "Pixel e Pixel 2 riceveranno aggiornamenti relativi a questo problema come parte della patch di sicurezza di Ottobre", hanno detto i portavoce dell'azienda, che hanno poi sottolineato che Pixel 3 e Pixel 3A non sono vulnerabili.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

24 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Tedturb008 Ottobre 2019, 10:01 #1


Sent from my Sony Xperia X
daniele86Z08 Ottobre 2019, 10:20 #2
Almeno qui le vulnerabilità vengono rilevate, corrette, pubblicate.. anche da terzi... dall'altra parte, non sai niente, anzi.. c'è un analisi del codice ?
Tutto sommato non credo che passerò all'SEII
pabloski08 Ottobre 2019, 10:34 #3
Originariamente inviato da: daniele86Z
Almeno qui le vulnerabilità vengono rilevate, corrette, pubblicate.. anche da terzi... dall'altra parte, non sai niente, anzi.. c'è un analisi del codice ?
Tutto sommato non credo che passerò all'SEII


Apple? Ho postato un paio di link nei commenti ad alcuni, soliti, articoli che incensano la mitica Apple.

Si tratta di falle grosse quanto un palazzo, con exploit kit installati su centinaia di migliaia di siti web che hanno un traffico di milioni di utenti al mese.

Curiosamente hwupgrade non pubblica mai queste news.
Ginopilot08 Ottobre 2019, 10:53 #4
Originariamente inviato da: pabloski
Apple? Ho postato un paio di link nei commenti ad alcuni, soliti, articoli che incensano la mitica Apple.

Si tratta di falle grosse quanto un palazzo, con exploit kit installati su centinaia di migliaia di siti web che hanno un traffico di milioni di utenti al mese.

Curiosamente hwupgrade non pubblica mai queste news.


Apple fixa tutto su tutti i dispositivi. Questa falla android probabilmente e' ancora disponibile su dispositivi di qualche anno fa e non verra' mai implementata su dispositivi successivi.
pabloski08 Ottobre 2019, 10:57 #5
Originariamente inviato da: Ginopilot
Apple fixa tutto su tutti i dispositivi. Questa falla android probabilmente e' ancora disponibile su dispositivi di qualche anno fa e non verra' mai implementata su dispositivi successivi.


E che vuol dire? Ci sono decine di exploit, molti 0-day ( cioè sconosciuti pure ad Apple ), che vengono usati in questo momento per infettare iPhone, iPad e Mac.

E sarebbe importante che una testata giornalistica ne parlasse. Altrimenti ti ritrovi con utenti che scrivono ( e pensano ): "io pago di più, ma sto al sicuro".

Mi sa che non avete idea di quale mercato ci sia dietro gli exploit. Ne vengono prodotti di nuovi ogni giorno, per falle non fixate e venduti ( a caro prezzo ) sul mercato nero.

Pensare di essere al sicuro solo perchè si ha una mela stampata sul retro, è da incoscienti.
superlex08 Ottobre 2019, 11:06 #6
Originariamente inviato da: pabloski
E che vuol dire? Ci sono decine di exploit, molti 0-day ( cioè sconosciuti pure ad Apple ), che vengono usati in questo momento per infettare iPhone, iPad e Mac.

E sarebbe importante che una testata giornalistica ne parlasse. Altrimenti ti ritrovi con utenti che scrivono ( e pensano ): "io pago di più, ma sto al sicuro".

Mi sa che non avete idea di quale mercato ci sia dietro gli exploit. Ne vengono prodotti di nuovi ogni giorno, per falle non fixate e venduti ( a caro prezzo ) sul mercato nero.

Pensare di essere al sicuro solo perchè si ha una mela stampata sul retro, è da incoscienti.

Nessun sistema operativo è esente da vulnerabilità, quello che intendeva Ginopilot è che Apple aggiorna tutti i suoi dispositivi contemporaneamente quando ne viene scoperta e corretta una, mentre su Android sta al produttore e quindi.. non si sa quando e se il fix verrà applicato.

Ma non capisco cosa c'entri Apple qui..

Piuttosto, la vulnerabilità in oggetto è contrassegnata come CVE-2019-2215 ma non ne vedo traccia nelle patch di ottobre
https://source.android.com/security/bulletin/2019-10-01
Solo per i Pixel viene riportato
Pixel 1 and Pixel 2 devices will receive the patch for CVE-2019-2215 as part of the October update. Pixel 3 and Pixel 3a devices are not vulnerable to this issue.

https://source.android.com/security...ixel/2019-10-01
Ginopilot08 Ottobre 2019, 11:07 #7
Originariamente inviato da: pabloski
E che vuol dire? Ci sono decine di exploit, molti 0-day ( cioè sconosciuti pure ad Apple ), che vengono usati in questo momento per infettare iPhone, iPad e Mac.

E sarebbe importante che una testata giornalistica ne parlasse. Altrimenti ti ritrovi con utenti che scrivono ( e pensano ): "io pago di più, ma sto al sicuro".

Mi sa che non avete idea di quale mercato ci sia dietro gli exploit. Ne vengono prodotti di nuovi ogni giorno, per falle non fixate e venduti ( a caro prezzo ) sul mercato nero.

Pensare di essere al sicuro solo perchè si ha una mela stampata sul retro, è da incoscienti.


Gli 0-day sconosciuti ci sono per qualsiasi sistema. Ma al contrario di apple, i dispositivi android non completamente abbandonati dopo 3 anni dal lancio, molti anche dopo appena 1. Mentre spesso continuano ad essere commercializzati anche senza piu' supporto. Follia.
cata8108 Ottobre 2019, 11:34 #8
E quel miliardo di device abbandonati a se stessi? frammentazione: Croce e delizia del robottino.
s0nnyd3marco08 Ottobre 2019, 11:51 #9
Purtroppo sembra che il concetto di aggiornamenti di sicurezza non sia ancora percepito come "selling point" da molti produttori di telefoni Android.

Pero' se uno si sceglie dispositivi Android One ha aggiornamenti di sicurezza garantiti per 3 anni

Monthly security updates to be supported for at least 3 years after initial phone release


Considerando la differenza di prezzo con uno smartphone Apple, hai un periodo di copertura migliore.
Phoenix Fire08 Ottobre 2019, 12:45 #10
Originariamente inviato da: Ginopilot
Gli 0-day sconosciuti ci sono per qualsiasi sistema. Ma al contrario di apple, i dispositivi android non completamente abbandonati dopo 3 anni dal lancio, molti anche dopo appena 1. Mentre spesso continuano ad essere commercializzati anche senza piu' supporto. Follia.


ottima cosa di Apple è il supporto, pessima cosa di Apple è il prezzo, per certe fasce si fa prima a cambiare dispositivo ogni anno (quindi si rimane sempre coperti) e si spende la stessa cifra

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^