Zero day su Android per ottenere il controllo completo del device

Project Zero di Google ha scoperto una vulnerabilità di privilege escalation che colpisce i telefoni con Android 8.x e versioni successive. La vulnerabilità CVE-2019-2215 consente a un attaccante di ottenere il pieno controllo del device colpito, ed è apparentemente già sfruttata da NSO, l’azienda israeliana che vende spyware a diversi governi.

È interessante notare che il bug era stato corretto alla fine del 2017 nella versione 4.14 del kernel Linux e nelle versioni Android 3.18, 4.4 e 4.9, ma a quanto pare la correzione non è stata mai implementata nelle versioni successive di Android.

Maddie Stone, Senior Security Engineer di Google, ha rivelato che sono vulnerabili numerosi dispositivi, tra cui Pixel 2 con Android 9 e Android 10 e i seguenti con Android 8.x (l’elenco potrebbe non essere esaustivo, poiché è stato compilato in base alla revisione del codice sorgente):

  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Oreo LG phones
  • Samsung S7, S8, S9

Stone ha incluso una proof-of-concept nella segnalazione del bug in modo che altri dispositivi possano essere testati e, se necessario, aggiornare l’elenco.

Il team di Android ha confermato che il problema, classificato come “High severity“, per essere sfruttato richiede l’installazione di un’app malevola. Altre modalità di infezione richiederebbero meccanismi più complessi, ad esempio per usare come vettore una pagina Web bisognerebbe sfruttare exploit addizionali.

Il team di Android afferma di aver notificato i partner e che la patch è disponibile sull’Android Common Kernel.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.