Cosa c’entra la porta USB che vedete in copertina con le patch di sicurezza di Android, e con l’importanza di avere sempre gli aggiornamenti più recenti installati sul proprio smartphone? Ce lo spiega il team Project Zero di Google, con un documento decisamente tecnico nel quale illustra una vulnerabilità che mete a rischio gli smartphone non aggiornati.
Anche se la procedura descritta da Google non è alla portata di tutti, è chiaro quanto i nostri dati possano risultare esposti a chiunque abbia le conoscenze necessarie, sfruttando alcuni bug di Android. Senza scendere troppo nel dettaglio tecnico, per il quale vi rimandiamo alla lettura dell’ottimo articolo che trovate linkato a fine articolo, vediamo come funziona l’exploit e quali sono i rischi, ricordando che è necessario, per un eventuale malintenzionato, avere accesso fisico allo smartphone
A rischio sono tutti quegli smartphone che supportano la modalità host sula porta USB, una funzione molto diffusa tra i nuovi dispositivi. Utilizzando una chiavetta appositamente preparata, con un particolare identificatore UUID, è possibile comunicare con alcuni componenti del kernel e ottenere un accesso completo al filesystem dello smartphone, anche se quest’ultimo è bloccato.
In questo modo è possibile mettere le mani su qualsiasi file presente, dalle foto personali ai documenti e, più in generale, a tutti i dati contenuti. È inoltre possibile garantirsi l’accesso al processo zygote per avere l’accesso completo allo smartphone, con privilegi elevati e la possibilità di inserire codice malevolo a piacimento.
Naturalmente anche i produttori sono chiamati a fare la loro parte, rilasciando tempestivamente gli aggiornamenti di sicurezza per tutti i loro dispositivi e non solamente per i top di gamma più recenti. Google ricorda che i dispositivi aggiornati a Android 9 Pie non soffrono di questo problema, vito che è disabilitato il montaggio di un dispositivo USB quando lo smartphone è bloccato.
Per i dispositivi con versioni precedenti di Android è sufficiente installare le, patch di sicurezza di settembre che insieme a quelle di agosto hanno corretto la vulnerabilità. A seguire il link al documento del team Project Zero.