Pericoloso bug Android scovato dal team ProjectZero. E Google da la colpa agli israeliani

Android

Maddie Stone, analista del team “Project Zero” (gruppo interno di Google che lavora per individuare le vulnerabilità zero-day) ha reso noto di aver scovato un bug in grado di fornire accesso completo come root a oltre 18 dispositivi Android (inclusi quattro modelli di Pixel).

In cosa consiste un bug di tipo “use-after-free”? Semplificando, si tratta di un’ area di memoria corrotta, che può essere utilizzata da un attaccante per eseguire codice malevolo.

La vulnerabilità è già stata patchata agli inizi del 2018 nella versione 4.14 del Kernel Linux, ma per qualche motivo non è mai arrivata su Android.

Google ha già segnalato che i modelli Pixel 3/3a non sono vulnerabili, mentre i Pixel 1 e 2, riceveranno nei prossimi giorni il security update di Ottobre per sanare la situazione. Contestualmente, verranno messe a disposizione tutte le indicazioni del caso per aiutare gli altri vendor dell’ecosistema Android in modo da risolvere definitivamente il problema.

La Stone aggiunge inoltre che è in possesso di informazioni (non ancora rese note pubblicamente) che il bug sia utilizzato in the wild per eseguire exploit, e che l‘attività malevola sia da attribuire all’NSO, un gruppo di cyber-intelligence israeliano, diventato famoso – qualche mese fa, a Maggio – per aver sviluppato codice capace di iniettare malware attraverso un bug di Whatsapp). Il gruppo ha già smentito il proprio coinvolgimento, e ha aggiunto:

“NSO did not sell and will never sell exploits or vulnerabilities. This exploit has nothing to do with NSO; our work is focused on the development of products designed to help licensed intelligence and law enforcement agencies save lives.”

[Il gruppo] NSO non vende e non venderà mai exploit o [informazioni relative a] vulnerabilità. Questo exploit non ha nulla a che vedere con il gruppo NSO; il nostro lavoro è incentrato sullo sviluppo di prodotti pensati per aiutare l’attività dell’Intellignece e delle forze dell’ordine con il solo scopo di salvare vite”

Google ha dato agli sviluppatori 90 giorni per fixare il bug, ultimatum che può slittare in caso di active exploits. A quanto pare, sempre secondo Project Zero, gli utenti possono dormire sonni tranquilli in quanto ci sono poche – se non nulle – chances di essere oggetto di un attacco eseguito con tali mezzi.

Insomma, cari utenti del robottino verde, il rischio c’è ma è limitato, e fino al momento del prossimo security update, occhio a cosa installate!

Fonte: https://www.miamammausalinux.org/2019/10/pericoloso-bug-android-scovato-dal-team-projectzero-e-google-da-la-colpa-agli-israeliani/

Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a scrivere più contenuti come questo. Grazie! 

Hai dubbi o problemi? Ti aiutiamo

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram. Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.

Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.