Un bug nel kernel mette in pericolo milioni di gadget guidati dall’OS di Google ma basta un update del firmware
Nella giornata di ieri Google ha rilasciato un importante aggiornamento di sistema per Android. Il motivo è la chiusura, repentina, di una falla attiva potenzialmente sfruttata dagli hacker per rootare smartphone e dispositivi col robottino verde. La vulnerabilità, CVW-2015-1805, interessa tutti i dispositivi Android che girano con le versioni di kernel Linux precedenti alla 3.18; non solo dunque smartphone e tablet ma anche smartwatch, smartband e tanto altro. Il bug permetterebbe di ottenere elevati privilegi di amministrazione con cui eseguire codice arbitrario lasciando entrare spyware e altre minacce, persino installare firmware di terze parti.
Usato per il root
Proprio per questo, dalla falla dipenderebbe parte del cosiddetto root degli oggetti Android, utile per customizzare il sistema operativo come si vuole, dal caricamento di un kernel alternativo alla personalizzazione estrema di parti fondamentali dell’OS. Non a caso, per risolvere il problema, gli utenti dovranno flashare (installare dal boot del device) la loro versione di Android; un’operazione non complicata ma che può essere svolta dai produttori e operatori mobili, quando riceveranno l’update. Ancora una volta il plauso va alla famiglia di dispositivi Nexus che invece otterranno l’aggiornamento via OTA senza necessità di operazioni aggiuntive. “Google è a conoscenza delle applicazioni di rooting che sfruttano la falla evidenziata nel kernel di alcuni prodotti Android – si legge in un comunicato ufficiale – è un problema riconosciuto e risolto già nell’aprile del 2014 all’interno di Linux. Nel febbraio del 2016 un team di controllo ha evidenziato la possibilità di ottenere i privilegi anche su Android, quindi abbiamo emesso una patch specifica all’interno del pacchetto di update mensile”.
