La difficile diffusione delle patch di sicurezza nel mondo Android

I ricercatori di sicurezza di Google Project Zero hanno pubblicato un interessante articolo che analizza un aspetto piuttosto cruciale della correzione di vulnerabilità nell'ecosistema Android: l'effetto viene chiamato "patch gap", e in concreto significa che a causa dei tanti passaggi che essa deve compiere un utente può aspettare anche settimane e mesi per vederla arrivare sul proprio dispositivo - rimanendo quindi inevitabilmente vulnerabile.

La storia riguarda le GPU Mali, che sono progettate direttamente da Arm, e di cinque vulnerabilità dei loro driver. Le falle sono state identificate tutte intorno a giugno 2022 ma sono raccolte in due soli identificatori CVE. I dettagli sono come segue:

• CVE-2022-33917 permette a un utente senza privilegi di accesso particolari di eseguire operazioni non autorizzate sulla GPU tramite cui si riesce ad accedere a sezioni libere della memoria. La vulnerabilità riguarda i driver kernel Valhall dalla versione r29p0 alla versione r38p0.
• CVE-2022-36449 permette a un utente senza privilegi di ottenere accessi a memoria liberata, scrivere al di fuori dei limiti del buffer e ottenere dettagli riservati sulla mappatura della memoria. I driver vulnerabili sono:
  • architettura Midgard: da r4p0 a r32p0
  • architettura Bifrost: da r0p0 a r38p0 e r39p0 prima di r38p1
  • architettura Valhall: da r19p0 a r38p0 e r39p0 prima di r38p1

Sicurezza 20 Apr

Arm ha pubblicato patch correttive a pochi giorni di distanza dalla notifica originale di Project Zero: ad agosto il codice sorgente del driver corretto era disponibile sul sito dedicato agli sviluppatori. Il problema è che a settembre Project Zero ha provato a controllare di nuovo sui device di test a disposizione e ha scoperto che nessuno era ancora al sicuro. Vale la pena a questo punto ricordare che le GPU Mali sono usate per esempio dai SoC MediaTek, dagli Exynos (tranne i flagship 2200 di quest'anno, che usano per la prima volta GPU derivate da AMD) e dai Google Tensor.

Insomma, è vero che l'utente finale deve applicare le patch di sicurezza il prima possibile, osserva Project Zero, ma questo suggerimento deve valere anche per i produttori: "minimizzare il patch gap in quanto vendor è volendo anche più importante" in questa fase iniziale della catena di distribuzione, dicono i ricercatori.