All’inizio di questa settimana Google ha rilasciato l’aggionamento con le patch di sicurezza di aprile ma tra le vulnerabilità risolte non vi è quella chiamata Dirty Pipe e di cui vi abbiamo parlato lo scorso mese.
Anche se probabilmente sarà necessario aspettare fino all’aggiornamento di maggio per mettere al riparo la maggior parte dei dispositivi, alcuni produttori hanno iniziato a proteggere i propri device in via autonoma.
Samsung e Google si preoccupano per i rischi di Dirty Pipe
Ricordiamo che Dirty Pipe è un exploit di sicurezza presente in alcune versioni recenti del kernel Linux (noto come vulnerabilità CVE-2022-0847), che è in grado di consentire ad un malintenzionato di prendere il pieno controllo di un dispositivo (smartphone, Chromebook, Chromecast, Google Home, smart display e PC su cui è installato Linux).
La vulnerabilità Dirty Pipe è stata corretta nel kernel Linux (con le versioni 5.16.11, 5.15.25 e 5.10.102) e anche nella versione per i dispositivi Android ma la patch non è stata inclusa nell’aggiornamento di sicurezza di aprile (probabilmente sarà implementata in quello di maggio).
Tuttavia, Google ha già iniziato ad introdurre la patch in alcune versioni personalizzate del kernel di Google Pixel 6 e Pixel 6 Pro e anche in Android 12 QPR3 Beta 2 è presente il fix per tale vulnerabilità.
Tra i principali produttori di smartphone pare che soltanto Samsung abbia implementato una correzione nel software stabile dei suoi device all’interno dell’aggiornamento con le patch di sicurezza di aprile 2022, il cui relativo bollettino fa riferimento alla vulnerabilità CVE-2022-0847 (e apposite verifiche avrebbero confermato che il problema Dirty Pipe è stato risolto).
Per quanto riguarda Xiaomi, ossia il secondo più importante produttore Android, Xiaomi 12 e Xiaomi 12 Pro sembra che siano ancora vulnerabili e ciò in quanto entrambi i telefoni non hanno ricevuto un aggiornamento dopo il loro esordio sul mercato (avvenuto con le patch di sicurezza di febbraio 2022).