Un nuovo allarmante tweet di Maddie Stone, ricercatrice del gruppo di sicurezza Project Zero di Google, svela che la piattaforma mobile di Google è colpita da quattro falle di sicurezza zero-day estremamente gravi. Il problema, però, è che secondo Google qualcuno le sta già sfruttando per ottenere il controllo completo del dispositivo Android, senza che il legittimo proprietario ne sia a conoscenza.

Controllo completo di Android

Dal tweet pubblicato da Stone, scopriamo che le falle di sicurezza non sono tanto legate ad Android come sistema operativo, ma più che altro alle GPU (Mali e Adreno) presenti all’interno della totalità dei dispositivi Android disponibili sul mercato. Ecco i codici relativi alle falle:

  • GPU Adreno di Qualcomm: CVE-2021-1905 e CVE-2021-1906;
  • GPU Mali di ARM: CVE-2021-28663 e CVE-2021-28664.

La falla relativa alla GPU sviluppata da Qualcomm è quella con maggiore criticità, ma anche le altre, se associate tra loro, permetterebbero ai malintenzionati di ottenere i permessi root e controllare così qualsiasi aspetto del sistema Android, come ad esempio l’esecuzione di codice arbitrario.

Dicevamo, quindi, che i dati in mano ai ricercatori di Google indicano che qualcuno le starebbe già sfruttando per loschi fini, ma purtroppo non sono state rilasciate informazioni riguardanti ad esempio quali potrebbero essere i passi da seguire per scoprire se si è stati colpiti da un attacco. In ultima analisi, resta fin troppo attuale la questione legata al supporto software e agli aggiornamenti di sicurezza: se, ad esempio, i dispositivi Pixel di Google saranno quasi certamente interessati da un aggiornamento di sicurezza già a partire dalle prossime settimane, molti potranno dirsi fortunati se riceveranno le patch di sicurezza il prossimo mese.

Che dire, però, dei milioni di smartphone Android in circolazione ormai non più aggiornati con frequenza?