Google ha recentemente diffuso l’Android Security Bulletin relativo al mese di dicembre 2023, presentando un vasto insieme di aggiornamenti di sicurezza volti a correggere ben 85 vulnerabilità individuate nel sistema operativo mobile. Queste correzioni coinvolgono le versioni 11, 12, 12L e 13 di Android, di cui cinque sono classificate con un grado di gravità “critica”.
Particolarmente inquietante tra queste è una vulnerabilità di tipo zero-click di RCE (Remote Code Execution) che, qualora venisse sfruttata, non richiederebbe alcun privilegio aggiuntivo per essere attivata, consentendo l’esecuzione di codice arbitrario senza richiedere l’interazione dell’utente.
Attualmente, non si hanno indicazioni di sfruttamento attivo da parte di criminali informatici o gruppi sponsorizzati dallo Stato; tuttavia, date le caratteristiche della vulnerabilità, non è da escludere la possibilità che hacker malintenzionati possano abusarne per condurre attacchi di tipo spyware.
Secondo il bollettino di sicurezza rilasciato da Google, l’utilizzo delle correzioni introdotte con gli aggiornamenti di dicembre 2023 potrebbe prevenire attacchi di vario genere, inclusi Remote Code Execution, Privilege Escalation, Denial of Service e Information Disclosure. La stima dell’impatto, riportata dal CSIRT Italia, indica un livello di rischio elevato/arancione (65,38/100).
Come consueto, i primi dispositivi a beneficiare degli aggiornamenti saranno quelli della serie Pixel di Google.
Il bollettino di sicurezza di dicembre 2023 per Android è suddiviso in due livelli di patch progressivi identificati come 2023-12-01 security patch level e 2023-12-05 security patch level.
Approfondendo le vulnerabilità corrette, la CVE-2023-40088, una zero-click di tipo RCE, è stata individuata nel componente System di Android e non richiede privilegi aggiuntivi per essere sfruttata. Google ha altresì rilasciato patch per altre tre vulnerabilità classificate come critiche: CVE-2023-40077, CVE-2023-40076 e CVE-2023-45866.
Le prime due (CVE-2023-40077 e CVE-2023-40076) riguardano il componente Framework di Android e trattano, rispettivamente, l’escalation dei privilegi e la divulgazione di informazioni riservate. La CVE-2023-45866, individuata nel componente System, potrebbe portare a un’escalation di privilegi remota senza richiedere ulteriori privilegi di esecuzione, e l’interazione dell’utente non è necessaria per lo sfruttamento.
La quinta vulnerabilità critica corretta, la CVE-2022-40507, è stata individuata in un componente closed source di Qualcomm.
In merito agli aggiornamenti, Google ha già reso disponibili tutte le patch Android ai partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza. Mentre alcuni aggiornamenti verranno installati automaticamente tramite Google Play, altri potrebbero essere distribuiti dagli operatori o dai produttori dei dispositivi. Alcuni dispositivi più datati potrebbero non ricevere mai gli aggiornamenti.
Si raccomanda di installare prontamente gli aggiornamenti, specialmente in contesti aziendali, e di utilizzare soluzioni di sicurezza affidabili. Per gli utenti, è possibile verificare e applicare gli aggiornamenti attraverso le impostazioni di sistema o l’apposito menu di sicurezza e privacy.
Da sottolineare che i dispositivi ancora su Android 10 o versioni precedenti, che hanno raggiunto la fine del ciclo di vita nel settembre 2022, non riceveranno ulteriori correzioni. Tuttavia, alcuni aggiornamenti potrebbero essere distribuiti tramite Google Play.
Le politiche di aggiornamento di Google prevedono tre anni di aggiornamenti di sicurezza dalla data di introduzione nel Google Store, e gli aggiornamenti Android per almeno tre anni dalla data di introduzione nel Google Store statunitense. La velocità di rilascio varia a seconda dell’acquisto diretto o da rivenditori di terze parti.