2 years ago
198
È emersa una nuova vulnerabilità negli ultimi smartphone top di gamma di Google, il Pixel 6 e il Pixel 6 Pro; o meglio, è più preciso dire che è stata dimostrata su un Pixel 6 e che si trova nel kernel di Linux in versione 5.10, e quindi tutti i dispositivi che si basano su di esso, tra cui per esempio i Galaxy S22 di Samsung (incluse quindi le varianti Plus e Ultra) e i ROG Phone 6 di ASUS (e relativa versione Pro), sono con ogni probabilità a rischio. La falla è stata scoperta dal ricercatore e studente della Northwestern University Zhenpeng Lin, che ha pubblicato una dimostrazione su Twitter.
Nel giro di pochi secondi, il Pixel 6 è stato completamente pwned, come si suol dire: l'exploit scritto dal ricercatore è in grado di leggere e scrivere dati a prescindere dai controlli del sistema operativo, da lì incrementare i suoi privilegi di accesso fino a raggiungere quelli root e disabilitare le protezioni di sicurezza SELinux. I dettagli tecnici della vulnerabilità non sono stati svelati pubblicamente, tuttavia Lin ha avvisato Google del problema solo dopo aver pubblicato il Proof-of-Concept su Twitter.
The latest Google Pixel 6 pwned with a 0day in kernel! Achieved arbitrary read/write to escalate privilege and disable SELinux without hijacking control flow. The bug also affects Pixel 6 Pro, other Pixels are not affected :) pic.twitter.com/UsOI3ZbN3L
— Zhenpeng Lin (@Markak_) July 5, 2022In questa fase, quindi, non è perfettamente chiaro come si possa eseguire l'exploit, che ha un'influenza enorme sulla sua effettiva pericolosità (banalmente: se si può lanciare da remoto senza che l'utente debba interagire in alcun modo è un discorso, se invece serve un cavetto e lo smartphone deve essere sbloccato è tutto un altro). Siamo in attesa della risposta di Google e altri produttori.
Si potrebbe argomentare che Lin non ha seguito la prassi standard del settore per la divulgazione di bug potenzialmente critici. Generalmente, le società coinvolte vengono prima avvisate in forma privata in modo tale che abbiano il tempo di sviluppare una patch correttiva e distribuirla. Di solito si concede un numero variabile di giorni (dipende dai ricercatori e dalla gravità) tra la prima notifica e la pubblicazione di tutti i dettagli, in modo tale che il produttore sia incentivato a lavorare rapidamente. Lin argomenta che quella da lui pubblicata è una semplice dimostrazione, ma bisognerà vedere cosa ne penserà il team di sicurezza di Google. Potrebbero esserci problemi con l'erogazione della ricompensa se si stabilirà che la procedura non è stata seguita in modo corretto.
English (US)