Il team Project Zero Security di Google ha scoperto uno zero-day in android che potrebbe essere stato attivato già da tempo. La vulnerabilità è stata trovata nel kernel del sistema operativo Android e può essere utilizzato da malintenzionati per ottenere l’accesso root di un dispositivo.
Eppure la vulnerabilità era stata individuata nel dicembre del 2017 e prontamente corretta con una patch nei kernel Android versione 3.18, 4.14, 4.4, e 4.9, ma ora lo zero-day è stato trovato attivo anche nelle ultime versioni del sistema operativo.
Secondo i ricercatori di Google, l’attacco colpisce i cellulari con Android 8 fino alle versioni più recenti. Quelli testati da Google ed elencati ufficialmente sono:
- Pixel 2
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi A1
- Oppo A3
- Moto Z3
- LG con Oreo
- Samsung S7, S8 e S9
Inoltre Google ipotizza che la vulnerabilità, non richiedendo modifiche o personalizzazioni del device, potrebbe colpire una più vasta gamma di cellulari. Naturalmente, questo non può essere ufficialmente confermato finché non vengono eseguiti i test dai ricercatori come è stato fatto per i dispositivi sopra elencati.
Lo zero-day è stato anche confermato dal Threat Analysis Group (TAG) di Google, lo stesso team che aveva scoperto giorni fa ben 14 zero-day nel sistema iOS di Apple, che inoltre afferma che le falle dei due sistemi operativi non sono correlate e crede che quella di Android sia opera del gruppo NSO, una nota società israeliana conosciuta per vendere exploit e strumenti di sorveglianza.
In passato la NSO è stata criticata per la vendita di strumenti di hacking a regimi oppressivi e, di fronte a queste critiche, ha annunciato che combatterà con impegno i clienti che abusano dei suoi strumenti per spiare innocenti o oppositori politici.
Un portavoce della NSO ha dichiarato: “NSO non ha venduto e non venderà mai exploit o notizie su vulnerabilità, quest’ultimo non ha nulla a che fare con NSO; il nostro lavoro è focalizzato nello sviluppo di prodotti progettati per aiutare i servizi segreti autorizzati e le forze dell’ordine a salvare vite umane”.
La buona notizia è che l’attuale zero-day di Android non è pericoloso come quelli del passato. Non è un RCE (remote code execution) che può essere attivato senza l’interazione dell’utente. Esistono alcune condizioni che devono essere soddisfatte prima che il malintenzionato possa sfruttare questa vulnerabilità.
Lo zero-day è una vulnerabilità nella sicurezza del sistema operativo non espressamente nota allo sviluppatore o alla società produttrice. Quando un hacker scopre questa falla nel codice, crea un programma, chiamato exploit, che sfrutta tale debolezza per accedere al dispositivo ed eseguire operazioni che ad un normale utente non sono ammesse. A questo punto, lo sviluppatore deve immediatamente (zero giorni, da qui il nome) trovare una soluzione, creare la patch ed includerla in un aggiornamento installabile dagli utenti.
Un sistema operativo come Android, essendo un software complesso a cui hanno messo mani decine e decine di programmatori durante gli anni della sua vita, contiene per forza delle vulnerabilità non ancora scoperte e che potrebbero attivarsi da un momento all’altro.
Per capire meglio il perché questo accade, usiamo una vecchia casa come analogia. Al momento del suo acquisto, non sappiamo tutti i difetti che ha perché non eravamo presenti alla sua costruzione ed inoltre, tutti i proprietari precedenti hanno apportato modifiche ed ampliamenti peggiorando eventualmente la lista dei difetti.
Per Android è la stessa cosa: è stato creato nell’ottobre del 2003 da Andy Rubin, Rich Miner, Nick Sears e Chris White, è stato acquisito da Google il 17 agosto del 2005 e ad ogni nuova versione i programmatori hanno modificato ed ampliato il codice.
Per ulteriori approfondimenti sullo zero-day che affligge Android, nel link che segue, troverete la nota del gruppo Project Zero di Google: https://bugs.chromium.org/p/project-zero/issues/detail?id=1942