Google ha rilasciato lunedì un importante aggiornamento di sicurezza per il sistema operativo Android, intervenendo su due vulnerabilità zero-day attivamente sfruttate da hacker in attacchi mirati. La scoperta di queste falle di sicurezza solleva preoccupazioni significative, poiché una di esse è stata identificata in un contesto particolarmente inquietante: l'utilizzo di tecnologie di sorveglianza contro un attivista studentesco in Serbia. L'aggiornamento arriva come risposta urgente a minacce concrete già in circolazione, che potrebbero compromettere dispositivi Android senza che l'utente debba compiere alcuna azione.
La prima delle due vulnerabilità corrette, identificata come CVE-2024-53197, è stata scoperta grazie alla collaborazione tra Amnesty International e Benoît Sevens del Threat Analysis Group di Google, un'unità specializzata nel monitoraggio di attacchi informatici sponsorizzati da entità governative. La scoperta si inserisce in un contesto più ampio di indagini condotte da Amnesty, che già a febbraio aveva denunciato come Cellebrite, azienda che fornisce tecnologie di sblocco e analisi forense di dispositivi mobili alle forze dell'ordine, stesse sfruttando una catena di tre vulnerabilità zero-day per compromettere telefoni Android.
Particolarmente allarmante è il caso specifico che ha portato alla scoperta: le vulnerabilità, inclusa quella appena corretta, erano state utilizzate contro un attivista studentesco serbo da parte delle autorità locali equipaggiate con tecnologia Cellebrite. Questo solleva interrogativi critici sul confine tra strumenti di investigazione legittimi e tecnologie di sorveglianza invasiva.
La seconda vulnerabilità corretta, CVE-2024-53150, presenta caratteristiche ancora più preoccupanti, essendo localizzata nel kernel, il nucleo del sistema operativo. Anche questa falla è stata scoperta da Sevens del team Google, ma al momento sono disponibili meno dettagli sulla sua natura specifica e sulle modalità di sfruttamento.
Google ha descritto la gravità della situazione nel suo avviso di sicurezza, definendo queste vulnerabilità come "critiche" e specificando che possono "portare a un'escalation remota dei privilegi senza necessità di privilegi di esecuzione aggiuntivi". Un elemento particolarmente inquietante è che "l'interazione dell'utente non è necessaria per lo sfruttamento" - in altre parole, un dispositivo potrebbe essere compromesso senza che il proprietario compia alcuna azione o se ne accorga.
Quando TechCrunch ha contattato Amnesty International per ulteriori dettagli, la portavoce Hajira Maryam ha dichiarato che l'organizzazione non aveva informazioni aggiuntive da condividere in questo momento. Anche Google non ha risposto immediatamente alle richieste di commento.
Il colosso tecnologico ha annunciato che rilascerà le patch del codice sorgente per le due vulnerabilità zero-day entro 48 ore dalla pubblicazione dell'avviso. Ha inoltre sottolineato che i partner Android sono stati "informati di tutti i problemi almeno un mese prima della pubblicazione". Questo solleva un punto cruciale per la sicurezza degli utenti finali: data la natura open source di Android e la frammentazione del suo ecosistema, ogni produttore di telefoni deve ora distribuire gli aggiornamenti ai propri utenti.
La tempestività con cui i diversi produttori implementeranno queste patch diventa quindi un fattore determinante per la sicurezza di milioni di dispositivi. Questa dinamica rappresenta una delle sfide principali dell'ecosistema Android, dove il tempo che intercorre tra la scoperta di una vulnerabilità e la sua effettiva correzione su tutti i dispositivi può creare finestre di esposizione significative.
Il caso evidenzia anche il ruolo sempre più importante delle organizzazioni per i diritti umani come Amnesty International nella scoperta di tecnologie di sorveglianza utilizzate contro attivisti e dissidenti. La collaborazione tra queste organizzazioni e team di sicurezza come quello di Google rappresenta un modello efficace per identificare e contrastare minacce che altrimenti potrebbero rimanere inosservate per periodi prolungati.
Gli utenti Android sono fortemente incoraggiati a installare gli aggiornamenti di sicurezza non appena disponibili per i loro dispositivi, poiché le vulnerabilità in questione sono già state sfruttate attivamente e potrebbero continuare a rappresentare una minaccia finché non saranno corrette su tutti i dispositivi interessati.