Nuove nubi si stagliano sul cielo dei dispositivi Android, e questa volta portano brutte notizie. Infatti, è di oggi la notizia che il gruppo Project Zero di Google ha individuato una “vulnerabilità 0day” per Android conosciuta col codice CVE-2019-2215. Ricordiamo brevemente che, quando si fa riferimento ad una falla 0day, si indica un grosso problema di sicurezza che non è ancora stato risolto.

Teoricamente sarebbe così, ma fortunatamente Google stessa annuncia che la falla verrà definitivamente chiusa con il rilascio delle patch di sicurezza di ottobre. La scoperta del problema vede interessati un gran numero di dispositivi Pixel e non solo, fra cui il Google Pixel, Google Pixel XL, Google Pixel 2, Google Pixel 2 XL, Huawei P20, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi Mi A1, Oppo A3, Motorola Moto Z3, Samsung Galaxy S8 e Samsung Galaxy S9.

Dalla lista si evince che i nuovi Google Pixel 3 e Google Pixel 3a non sono interessati dalla falla. Se i Google Pixel possono già adesso contare su un rilascio piuttosto cadenzato delle patch di sicurezza, stessa cosa non si può dire per tutti i produttori OEM. Google stessa però afferma di avere già inoltrato la patch correttiva alle varie aziende, con la speranza che saranno piuttosto celeri nel rilasciare l’aggiornamento di sicurezza.

La vulnerabilità 0day permette di avere pieno accesso agli smartphone vittime attraverso due modalità: la prima semplicemente installando un’applicazione non attendibile – ricordate cosa dicevamo circa la presenza di applicazioni dannose sul Play Store? -, la seconda attraverso l’utilizzo di una catena di exploit che sfruttano una falla di sicurezza di Google Chrome. Sempre secondo quanto dichiarato dagli sviluppatori del Google Porject Zero, la vulnerabilità 0day potrebbe essere stata utilizzata dal gruppo NSO.

Se ricordate bene, è lo stesso di cui vi avevamo parlato circa l’aggiornamento di WhatsApp per lo spyware Pegasus. La compagnia israeliana potrebbe avere quindi utilizzato la falla oppure avere confezionato un piccolo tool da vendere a compagnie interessate in questo genere di attività.