Google ha appena riferito di aver raccolto le prove dell’esistenza di tre vulnerabilità di sicurezza zero-day su altrettanti smartphone Android a marchio Samsung — per giunta nei rispettivi momenti clou decisamente popolari — e, soprattutto, del loro sfruttamento da parte di un vendor di sorveglianza commerciale.
Indice:
Segui Samsung Italia su Telegram, ricevi news e offerte per primo
Tre vulnerabilità compromettevano la sicurezza di questi Samsung
Stando a quanto riferito in via ufficiale dal colosso di Mountain View, le vulnerabilità di sicurezza in discorso sono state scoperte in seno al software proprietario di Samsung e venivano sfruttate insieme quali parti di una exploit chain avente come bersaglio proprio gli smartphone Samsung con sistema operativo Android (ergo tutti). Tali vulnerabilità consentono all’autore dell’eventuale attacco di accedere direttamente al kernel con permessi di lettura e scrittura come root user, con la conseguenza di compromettere la sicurezza dei dati presenti sul dispositivo.
A riferire quanto scoperto è stata la ricercatrice di sicurezza del Google Project Zero Maddie Stone in un post sul blog ufficiale. In tale post viene prontamente evidenziato come la exploit chain avesse come bersaglio gli smartphone Samsung con processori Exynos con a bordo una ben precisa versione del kernel: la 4.14.113. È noto come il produttore sudcoreano impieghi i SoC proprietari essenzialmente negli smartphone venduti in Europa, Medio Oriente ed Africa, pertanto, mentre la cattiva notizia non tocca gli utenti dall’altra parte dell’oceano, ci interessa invece in maniera diretta. A conti fatti, proprio in queste zone che si trovavano gli obiettivi della sorveglianza messa in campo grazie alle vulnerabilità in discorso.
La ricercatrice sottolinea come gli smartphone maggiormente toccati da tutta questa situazione — in quanto dotati di SoC Exynos e della versione kernel fallata — siano tre: Samsung Galaxy S10, Samsung Galaxy A50 e Samsung Galaxy A51. Tutti e tre questi modelli hanno avuto un loro momento d’oro e quindi ampia diffusione, offrendo ai malintenzionati un’ampia platea di potenziali vittime. A questo riguardo, sebbene Google avesse segnalato tali vulnerabilità a Samsung nel 2020 e il produttore avesse provveduto a rilasciare le patch a marzo 2021, in tale circostanza Samsung aveva tralasciato di riconoscere che le stesse erano state concretamente sfruttate.
Infatti, le tre vulnerabilità venivano sfruttate tramite un’app Android malevola, che gli utenti potrebbero essere stati ingannati ad installare sul dispositivo tramite store non ufficiali (sideloading). L’app malevola consentiva all’autore dell’attacco di sfuggire all’app sandbox progettato per delinearne e contenerne l’attività, con la conseguenza di guadagnare accesso a parti del sistema operativo altrimenti non consentito.
Più controlli sui software proprietari
Nel frattempo Samsung si è accodata a Google e Apple accettando di rivelare se e quando le proprie vulnerabilità vengano sfruttate, ma in quella circostanza non lo aveva fatto.
Il post della ricercatrice di Google prosegue evidenziando come l’analisi di questa exploit chain abbia fornito delle preziose indicazioni sul modo in cui gli autori degli attacchi prendono di mira i dispositivi Android. Per la verità, Stone sottolinea soprattutto la necessità di una ricerca più attenta e certosina sul software proprietario che i produttori di smartphone Android — come appunto Samsung — utilizzano sui propri dispositivi, poiché proprio in tali componenti software potrebbero annidarsi delle vulnerabilità insidiose.
Il post di Google non riporta apertamente il nome del vendor di sorveglianza commerciale, tuttavia rivela un particolare alquanto sinistro: l’exploit ha seguito un modello simile ad un altro recente che vedeva app Android malevole sfruttate al fine di diffondere un potente nation-state spyware. A tal proposito, i più attenti di voi ricorderanno sicuramente che qualche mese fa vi avevamo parlato dello spyware governativo Hermit, utilizzato per mietere vittime anche in Italia sia in ambito Android che iOS. Quello spyware arrivava a sottrarre alle vittime dati sensibili come contatti, foto, video, dati sulla posizione e registrazioni audio e si era rivelato talmente insidioso da indurre Google a notificare direttamente agli utenti Android l’eventuale compromissione del proprio dispositivo.
Per maggiori dettagli su questo caso che tocca unicamente Samsung, vi rimandiamo al post ufficiale.
Leggi anche: Android e Google Chrome da oggi supportano l’accesso tramite passkey