Google rilascia una correzione per la falla di sicurezza che, se ignorata, potrebbe consentire a dei criminali di eseguire codice dannoso senza che l’utente possa accorgersene.
Google ha implementato un aggiornamento di sicurezza per risolvere un difetto critico nella gestione del Bluetooth di Android che consente l’esecuzione di codice in remoto senza l’interazione dell’utente.
La vulnerabilità, classificata come CVE-2020-0022 , riguarda i dispositivi con Android Oreo (8.0 e 8.1) e Pie (9.0). Per questi dispositivi, che rappresentano quasi i due terzi dei dispositivi Android in uso, il difetto è valutato da Google come critico.
Secondo il fornitore tedesco di sicurezza IT ERNW, che ha scoperto il bug di sicurezza “wormable” e lo ha segnalato a Google tre mesi fa, questo potrebbe essere sfruttato per rubare dati personali o distribuire malware. Gli aggressori potrebbero “eseguire silenziosamente codice arbitrario con i privilegi del daemon Bluetooth”, ha affermato la società.
“Non è richiesta l’interazione dell’utente e deve essere conosciuto solo l’indirizzo MAC Bluetooth dei dispositivi di destinazione. Per alcuni dispositivi, l’indirizzo MAC Bluetooth può essere dedotto dall’indirizzo MAC Wi-Fi ”. Ovviamente anche gli aggressori devono trovarsi nelle immediate vicinanze del dispositivo bersaglio e il telefono o tablet deve essere in modalità rilevabile.
Il problema è molto meno grave per Android 10, dove non può essere sfruttato e porta “solo” a un arresto anomalo del daemon Bluetooth. Le versioni di Android precedenti alla 8.0 non sono state testate.
ERNW ha smesso di descrivere dettagliatamente il bug o di condividere il codice di prova, mentre attende che le correzioni raggiungano gli utenti finali.
Se si possiede uno smartphone Google come ad esempio Pixel, il rilascio della correzione è molto più rapido. Al contrario, il patching potrebbe non essere veloce come desiderato per molti altri proprietari di dispositivi Android, in quanto occorre attendere che i produttori o gli operatori telefonici distribuiscano gli aggiornamenti. Inoltre, molti dispositivi potrebbero non essere più supportati.
Google, che ha rilasciato la correzione nel suo ultimo pacchetto di aggiornamenti di sicurezza mensili per Android, ha dichiarato di aver notificato il problema a tutti i produttori di dispositivi Android almeno un mese fa.
Un modo per ridurre il rischio è assicurarsi che il telefono sia in modalità non rilevabile quando il Bluetooth è attivo. In alternativa, abilitare il Bluetooth solo se necessario e ricordarsi di disattivarlo quando non viene utilizzato.
Lascia un commento