Questo mese gli aggiornamenti di sicurezza di Android hanno risolto 46 vulnerabilità, inclusa una di gravità elevata legata all'esecuzione remota di codice (RCE), che è stata sfruttata in attacchi mirati.
La zero day, identificata come CVE-2024-36971, è una vulnerabilità di tipo use after free (UAF) nella gestione delle route di rete del kernel Linux. Per sfruttare in modo efficace tale vulnerabilità sono necessari privilegi di esecuzione di sistema e permette la modifica del comportamento di determinate connessioni di rete.
Google ha indicato che "ci sono indicazioni che CVE-2024-36971 potrebbe essere sfruttata in modo limitato e mirato", con aggressori informatici che probabilmente cercano di ottenere l'esecuzione di codice arbitrario senza interazione con l'utente su dispositivi non aggiornati.
Nonostante Google non abbia ancora fornito dettagli su come la falla sia sfruttata e su chi sia l'attore della minaccia dietro agli attacchi, i ricercatori di sicurezza di Google TAG individuano e divulgano frequentemente le zero day utilizzate in software di sorveglianza sponsorizzati dallo stato, per colpire individui di alto profilo.
Le patch del codice sorgente per questi problemi saranno rilasciate nel repository del progetto Android Open Source (AOSP) nelle prossime ore, come spiega l'avviso.
All'inizio di quest'anno, Google ha corretto un'altra zero day sfruttata in diversi attacchi: una falla di elevazione di privilegio (EoP) di alta gravità nel firmware Pixel, tracciata come CVE-2024-32896 da Google e CVE-2024-29748 da GrapheneOS, che ha scoperto e segnalato la falla. Le aziende di indagini forensi hanno sfruttato questa vulnerabilità per sbloccare dispositivi Android senza conoscere i codici di accesso e accedere ai dati memorizzati.
Google ha rilasciato due set di patch per gli aggiornamenti di sicurezza di agosto 2024, i livelli di patch di sicurezza 2024-08-01 e 2024-08-05. Quest'ultimo include tutte le correzioni di sicurezza del primo set e ulteriori patch per componenti di terze parti a codice chiuso e componenti del kernel, come una vulnerabilità critica (CVE-2024-23350) in un componente a codice chiuso di Qualcomm.
È importante sottolineare che i dispositivi Pixel di Google ricevono aggiornamenti di sicurezza mensili subito dopo il rilascio, mentre altri produttori potrebbero necessitare di più tempo prima di distribuire le patch. Il ritardo è necessario per ulteriori test delle patch di sicurezza al fine di garantire la compatibilità con varie configurazioni hardware.
Tuttavia, moltissimi degli smartphone in circolazione molto probabilmente non riceveranno mai queste patch di sicurezza, come dimostrato dal grafico della distribuzione delle versioni di Android.