I moduli APEX (Android Package EXecutable) rappresentano una componente cruciale per gli sviluppatori Android, consentendo l’aggiornamento di parti specifiche del sistema operativo senza coinvolgere l’intero sistema. Un elemento base in questo processo è la firma digitale con chiavi private, in genere, note solo al produttore hardware. A settembre 2023, il Red Team X di Meta ha evidenziato una vulnerabilità critica nel progetto open source AOSP (Android Open Source Project), rivelando la presenza di chiavi crittografiche di test.
La chiave privata identificata è legata al modulo APEX che gestisce com.android.art, il motore Art di Android Runtime. Analizzando le immagini del sistema operativo utilizzate da 14 rinomati produttori Android, Meta ha scoperto che sette aziende condividono almeno una chiave privata, consentendo a chiunque di sviluppare codice firmato digitalmente e presentarlo ad Android come un aggiornamento autorizzato. Questa falla di sicurezza potrebbe portare a gravi conseguenze, come l’esecuzione di codice maligno, la sottrazione di dati personali e danni all’integrità delle applicazioni.
Google ha risposto con una patch ufficiale a dicembre 2023, identificando la vulnerabilità come CVE-2023-45779. Chiunque abbia installato l’aggiornamento di dicembre o successivo è immune da attacchi basati su questa vulnerabilità.
L’impatto della falla coinvolge diversi produttori, tra cui ASUS, Microsoft, Nokia, Nothing, VIVO, Lenovo e Fairphone, ma potrebbe estendersi a molti altri dispositivi Android degli stessi brand. Alcuni modelli esenti dal problema includono Google Pixel, Samsung Galaxy S23, Xiaomi Redmi Note 12, OPPO Find X6 Pro, Sony Xperia 1 V, Motorola Razr 40 Ultra e OnePlus 10T.
Meta ha condiviso un Proof-of-Concept su GitHub per evidenziare la problematica, anche se l’accesso fisico al dispositivo è necessario per sfruttarla. La comunità di esperti sottolinea che la vulnerabilità potrebbe essere integrata in una catena di exploit per ottenere privilegi elevati su dispositivi già compromessi.
E’ fondamentale verificare e mantenere aggiornati i dispositivi Android per proteggersi da possibili minacce. La consapevolezza degli utenti, degli sviluppatori e dei produttori è cruciale per garantire un ecosistema Android sicuro e affidabile nel tempo.