Questa vulnerabilità è stata denominata CVE-2023-40088 nel National Vulnerability Database ed è classificata come una “zero-click flaw”, ovvero una falla di Android che non richiede alcuna interazione da parte dell’utente per essere sfruttata.
Nome della falla di sicurezza con relativa classificazione di gravità
Stando a quanto dichiarato da NVD, la problematica sorge nel momento in cui un telefono Android tenta di eseguire un callback_thread_event di com_android_bluetooth_btservice_AdapterService.cpp. Durante questa operazione, esiste il rischio di corruzione della memoria con una vulnerabilità di use-after-free. Fondamentalmente, ciò consente ai telefoni Android di accedere a com_android_bluetooth_btservice_AdapterService.cpp senza autorizzazione dopo che la memoria del sistema è stata liberata, permettendo agli hacker di eseguire codice a distanza senza interazione dell’utente.
Le due buone notizie in tutto questo sono che non si hanno certezze che qualcuno sia mai riuscito a sfruttare tale debolezza e che questa falla si può sfruttare solamente stando piuttosto vicini alla “vittima”, dato che funziona solo tramite tecnologie come Bluetooth o NFC.
Sul bollettino sulla sicurezza di dicembre 2023 di Android, è possibile notare che Google ha già trovato la soluzione per fixare il problema sulle versioni di Android 11, 12, 12L, 13 e 14. Il rilascio delle patch di sicurezza richiederà sicuramente qualche giorno, ad ogni modo, ogni brand di smartphone avrà poi tempistiche differenti. I Google Pixel, si sa, saranno sempre i primi a ricevere gli aggiornamenti.