Project Zero di Google ha scoperto una vulnerabilità di privilege escalation che colpisce i telefoni con Android 8.x e versioni successive. La vulnerabilità CVE-2019-2215 consente a un attaccante di ottenere il pieno controllo del device colpito, ed è apparentemente già sfruttata da NSO, l’azienda israeliana che vende spyware a diversi governi.
È interessante notare che il bug era stato corretto alla fine del 2017 nella versione 4.14 del kernel Linux e nelle versioni Android 3.18, 4.4 e 4.9, ma a quanto pare la correzione non è stata mai implementata nelle versioni successive di Android.
Maddie Stone, Senior Security Engineer di Google, ha rivelato che sono vulnerabili numerosi dispositivi, tra cui Pixel 2 con Android 9 e Android 10 e i seguenti con Android 8.x (l’elenco potrebbe non essere esaustivo, poiché è stato compilato in base alla revisione del codice sorgente):
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi A1
- Oppo A3
- Moto Z3
- Oreo LG phones
- Samsung S7, S8, S9
Stone ha incluso una proof-of-concept nella segnalazione del bug in modo che altri dispositivi possano essere testati e, se necessario, aggiornare l’elenco.
Il team di Android ha confermato che il problema, classificato come “High severity“, per essere sfruttato richiede l’installazione di un’app malevola. Altre modalità di infezione richiederebbero meccanismi più complessi, ad esempio per usare come vettore una pagina Web bisognerebbe sfruttare exploit addizionali.
Il team di Android afferma di aver notificato i partner e che la patch è disponibile sull’Android Common Kernel.
