Android, circola vulnerabilità critica per ora corretta solo su Pixel

Pare che la stragrande maggioranza dei dispositivi Android attualmente sul mercato, potenzialmente tutti tranne i Google Pixel, abbiano una vulnerabilità critica non mitigabile per cui alcuni exploit potrebbero essere già in circolazione: tutta la timeline della scoperta è piuttosto complicata, ma il succo è che prima Google pensava riguardasse solo i suoi Pixel e ha sviluppato una patch (distribuita con l'OTA di aprile), poi ha scoperto che poteva interessare anche altri brand, quindi li ha avvisati e ora si sta lavorando per sistemare la situazione.

Ogni produttore dovrà implementare la correzione nei propri firmware: non può essere distribuita in autonomia da Google, per esempio tramite un aggiornamento dei Play Service. Il che significa che ci vorrà probabilmente un po’ di tempo prima che arrivi su tutti i dispositivi vulnerabili, e che nel frattempo l’utente non può far altro che sperare di non essere colpito.

Comprensibilmente i dettagli specifici della vulnerabilità sono al momento segreti per evitare di rendere la vita più facile ai cybercriminali, quindi non sappiamo nel dettaglio dove risieda il problema o come si possa lanciare l’attacco. Sappiamo solo che può portare all’esecuzione di codice da remoto senza che l’utente debba fare nulla.

Android 03 Lug

La gravità della falla (CVE-2024-32896) è comunque talmente elevata che qualche giorno fa il governo federale USA aveva avvisato tutti i propri dipendenti di smettere di usare smartphone Pixel (in quel momento si pensava che solo questi dispositivi fossero vulnerabili) se non avevano ricevuto gli ultimi aggiornamenti di sicurezza.

A questo punto è facile pensare a un attacco che si può condurre completamente da remoto senza interazione dell’utente, ma naturalmente per ora sono pure congetture. Google osserva che per violare un dispositivo sfruttando questa falla è necessario ricorrere ad altri exploit, ma a quanto pare riguardano di nuovo altre vulnerabilità (tra cui CVE-2024-29745) per ora corrette solo nei Pixel e per cui non esiste mitigazione o contromisura su altri smartphone. Come dicevamo, i dettagli sono volutamente fumosi e poco chiari, e non si può far altro che aspettare una soluzione - magari fare un po’ più attenzione a eventuali attività sospette.