Dopo mesi di conoscenza del problema, Google ancora non emette una patch per risolvere la vulnerabilità che interessa v4l2
Una vulnerabilità zero-day minaccia, almeno in teoria, quasi ogni smartphone Android, di ogni marca, attivo a livello globale. Stiamo parlando di oltre un miliardo di device, ancora senza una patch di sicurezza. Se sfruttato, il dispositivo potrebbe aprire i privilegi di escalation a soggetti terzi, hacker e cybercriminali, consentendo loro di compiere qualsiasi cosa sul telefono.
I tecnici White Hat alla Zero Day Initiative hanno dichiarato: «Questa vulnerabilità consente agli autori di attacchi locali di aumentare i privilegi nelle installazioni vulnerabili di Android. Un utente malintenzionato deve prima ottenere la possibilità di eseguire codice con privilegi limitati sul sistema di destinazione per sfruttare questa vulnerabilità».
Cosa succede ad Android
Il problema è stato causato da un driver chiamato v4l2 (o Video4Linux 2). Ed è proprio questo che sembra consentire gli attacchi, non riuscendo a verificare se esiste effettivamente un oggetto da elaborare come operazione. La buona notizia è che l’attaccante deve avere le mani concrete sul dispositivo, il che è sempre un problema, almeno se si sta attenti a dove lo si mette.
Anche se non è chiaro al 100% come viene eseguito l’exploit, i ragazzi di Zero Day Initiative esprimono una certa preoccupazione a riguardo. La vulnerabilità è emersa per la prima volta a marzo e, nonostante ciò, non è ancora stata corretta negli aggiornamenti mensili sulla sicurezza di Android (supponendo che il produttore si preoccupi di elaborarli e quindi divulgarli). Google ha affermato di essere consapevole dell’esistenza del problema, ed è ancora meno evidente il perché di tanta attesa.
In quanto vulnerabilità zero-day, la compagnia avrebbe dovuto prendere la questione forse con maggiore cautela, una priorità visto che, sebbene le possibilità di non accorgersi di non avere dietro il telefonino siano sempre minori, data l’attenzione che vi poniamo, lo scenario è quello di una flotta molto ampia di dispositivi da usare in modo improprio, da spulciare in ogni loro angolo e aspetto.
