Cosa hai bisogno di sapere
- Google ha riscontrato una falla di sicurezza in Android che consentiva l'esecuzione di codice in modalità remota, descritta come una "vulnerabilità critica della sicurezza".
- La vulnerabilità è nota come "zero-click", ovvero non richiede alcuna interazione per essere sfruttata.
- Google sta fornendo agli OEM una soluzione attraverso il progetto Android Open Source, ma spetterà a ciascun produttore di telefoni fornire gli aggiornamenti ai propri smartphone.
Google ha scoperto una "vulnerabilità critica della sicurezza" in Android che rende possibile a un hacker remoto di eseguire codice sul tuo telefono, ha affermato nel comunicato di dicembre Bollettino sulla sicurezza Android. L'azienda ha già fornito una soluzione ai produttori di telefoni Android, ma ogni OEM dovrà inviare il proprio aggiornamento per correggere la falla di sicurezza.
Il bug è stato assegnato CVE-2023-40088 nel Database nazionale delle vulnerabilità, che fornisce ulteriori informazioni. Secondo il rapporto NVD, il problema emerge quando il telefono Android tenta di eseguire un file
callback_thread_event Di com_android_bluetooth_btservice_AdapterService.cpp. Durante questa azione, è possibile che la memoria venga danneggiata con una vulnerabilità use-after-free.In sostanza, questo problema fa sì che i telefoni Android accedano com_android_bluetooth_btservice_AdapterService.cpp senza autorizzazione dopo che la memoria del sistema è già stata deallocata. Ciò potrebbe consentire a un hacker remoto di accedere a un file telefono Android, eseguendo il codice senza che sia necessaria alcuna azione da parte dell'utente.
Sebbene questo difetto possa essere eseguito da remoto, vale la pena notare che un potenziale utente malintenzionato deve essere relativamente vicino a te affinché funzioni. Può essere sfruttato tramite connessione wireless Wi-Fi, Bluetooth o NFC.
Google ha inviato una correzione per le versioni Android 11, 12, 12L, 13 e le ultime Androide 14 tramite la Progetto open source Android. Presumibilmente, ciò significa che i telefoni Android su quelle versioni sono interessati dal bug. Poiché questo problema consente l'esecuzione di codice in modalità remota senza che sia necessaria l'interazione dell'utente, è uno dei tipi più gravi di vulnerabilità della sicurezza.
Né Google né NVD specificano se il bug sia stato sfruttato attivamente in natura. Di solito, questo verrebbe affermato nel caso in cui venga sfruttata una falla di sicurezza, ma non lo sappiamo con certezza. Google non ha aggiunto ulteriore contesto per la vulnerabilità, cosa prevedibile. Probabilmente la società non fornirà ulteriori informazioni finché il problema non sarà stato risolto e la maggior parte dei dispositivi attivi non sarà stata aggiornata.
Tuttavia, poiché la patch verrà rilasciata tramite AOSP, non vedrai immediatamente un aggiornamento. L'aggiornamento verrà inviato nei prossimi due giorni, ma successivamente ogni OEM Android dovrà inviare la correzione. I telefoni Pixel potrebbero essere i primi a ricevere la patch, ma le tempistiche possono variare per altri marchi.
Considerando la gravità di questo problema, tieni gli occhi aperti per un aggiornamento di sicurezza questo mese se utilizzi uno smartphone Android.