Rivelati pericolosi bug di 0 giorni del telefono Android: correggili o risolvili ora!

Rivelati pericolosi bug di 0 giorni del telefono Android: correggili o risolvili ora!

Timestamp: 17 marzo 2023 1:56
Nodo di origine: 2016229
by Paul Ducklin

Google ha appena rivelato un fourfecta di critici bug zero-day interessando un'ampia gamma di telefoni Android, inclusi alcuni dei suoi modelli Pixel.

Questi bug sono leggermente diversi dalle solite vulnerabilità di Android, che in genere interessano il sistema operativo Android (che è basato su Linux) o le applicazioni che lo accompagnano, come Google Play, Messaggi o il browser Chrome.

I quattro bug di cui stiamo parlando qui sono noti come Vulnerabilità in banda base, il che significa che esistono nello speciale firmware di rete del telefono cellulare che viene eseguito sul cosiddetto chip in banda base del telefono.

In senso stretto, baseband è un termine usato per descrivere le parti primarie o a frequenza più bassa di un singolo segnale radio, in contrasto con un segnale a banda larga, che (molto genericamente) consiste in più segnali in banda base regolati in numerosi intervalli di frequenza adiacenti e trasmessi contemporaneamente in per aumentare la velocità dei dati, ridurre le interferenze, condividere più ampiamente lo spettro di frequenza, complicare la sorveglianza o tutto quanto sopra. La parola baseband è anche usato metaforicamente per descrivere il chip hardware e il firmware associato utilizzato per gestire l'effettivo invio e ricezione di segnali radio in dispositivi che possono comunicare in modalità wireless. (Un po' confusamente, la parola baseband in genere si riferisce al sottosistema in un telefono che gestisce la connessione alla rete di telefonia mobile, ma non ai chip e al software che gestiscono le connessioni Wi-Fi o Bluetooth.)

Il modem del tuo cellulare

I chip in banda base in genere funzionano indipendentemente dalle parti "non telefoniche" del telefono cellulare.

Essenzialmente eseguono un proprio sistema operativo in miniatura, su un proprio processore, e lavorano insieme al sistema operativo principale del dispositivo per fornire connettività di rete mobile per effettuare e rispondere a chiamate, inviare e ricevere dati, roaming sulla rete e così via .

Se sei abbastanza grande per aver utilizzato Internet dialup, ti ricorderai che dovevi acquistare un modem (abbreviazione di modulatore-e-demodulatore), che hai inserito in una porta seriale sul retro del tuo PC o in uno slot di espansione al suo interno; il modem si collegherebbe alla rete telefonica e il tuo PC si collegherebbe al modem.

Bene, l'hardware e il software in banda base del tuo telefono cellulare è, molto semplicemente, un modem integrato, solitamente implementato come sottocomponente di quello che è noto come SoC del telefono, abbreviazione di sistema su chip.

(Puoi pensare a un SoC come a una sorta di "circuito integrato integrato", in cui componenti elettronici separati che erano interconnessi montandoli in stretta vicinanza su una scheda madre sono stati ulteriormente integrati combinandoli in un singolo pacchetto di chip.)

In effetti, vedrai ancora i processori in banda base indicati come modem in banda base, perché si occupano ancora dell'attività di modulazione e demodulazione dell'invio e della ricezione di dati da e verso la rete.

Come puoi immaginare, ciò significa che il tuo dispositivo mobile non è solo a rischio di cybercriminali a causa di bug nel sistema operativo principale o in una delle app che utilizzi...

…ma anche a rischio di vulnerabilità di sicurezza nel sottosistema in banda base.

A volte, i difetti in banda base consentono a un utente malintenzionato non solo di entrare nel modem stesso da Internet o dalla rete telefonica, ma anche di entrare nel sistema operativo principale (spostandosi lateralmente, o girevole, come la chiama in gergo) dal modem.

Ma anche se i truffatori non riescono a superare il modem e oltre nelle tue app, possono quasi certamente farti un'enorme quantità di danni informatici semplicemente impiantando malware nella banda base, come fiutare o deviare i tuoi dati di rete, ficcare il naso nel tuo messaggi di testo, monitoraggio delle chiamate telefoniche e altro ancora.

Peggio ancora, non puoi semplicemente guardare il tuo numero di versione Android o i numeri di versione delle tue app per verificare se sei vulnerabile o patchato, perché l'hardware in banda base che hai, e il firmware e le patch di cui hai bisogno, dipendono dal tuo dispositivo fisico, non dal sistema operativo in esecuzione su di esso.

Anche i dispositivi che sono sotto tutti gli ovvi aspetti "uguali" - venduti con lo stesso marchio, utilizzando lo stesso nome di prodotto, con lo stesso numero di modello e lo stesso aspetto esteriore - potrebbero rivelarsi avere chip in banda base diversi, a seconda di quale fabbrica li ha assemblati o in quale mercato sono stati venduti.

I nuovi giorni zero

I bug scoperti di recente da Google sono descritti come segue:

[Numero bug] CVE-2023-24033 (e altre tre vulnerabilità a cui devono ancora essere assegnate identità CVE) consentivano l'esecuzione di codice remoto da Internet a banda base. I test condotti da [Google] Project Zero confermano che queste quattro vulnerabilità consentono a un utente malintenzionato di compromettere in remoto un telefono a livello di banda base senza alcuna interazione da parte dell'utente e richiedono solo che l'attaccante conosca il numero di telefono della vittima.

Con attività di ricerca e sviluppo aggiuntive limitate, riteniamo che abili aggressori sarebbero in grado di creare rapidamente un exploit operativo per compromettere i dispositivi interessati in modo silenzioso e da remoto.

In parole povere, un buco di esecuzione di codice remoto da Internet a banda base significa che i criminali potrebbero iniettare malware o spyware su Internet nella parte del telefono che invia e riceve dati di rete...

…senza mettere le mani sul tuo vero dispositivo, attirandoti su un sito Web canaglia, convincendoti a installare un'app dubbia, aspettando che tu faccia clic sul pulsante sbagliato in un avviso pop-up, tradindosi con una notifica sospetta o ingannando te in nessun altro modo.

18 bug, quattro tenuti semi-segreti

C'erano 18 bug in questo ultimo batch, segnalati da Google tra la fine del 2022 e l'inizio del 2023.

Google afferma che sta rivelando la loro esistenza ora perché è trascorso il tempo concordato da quando sono stati divulgati (il periodo di tempo di Google è solitamente di 90 giorni, o quasi), ma per i quattro bug di cui sopra, la società non sta rivelando alcun dettaglio, osservando che :

A causa di una combinazione molto rara di livello di accesso fornito da queste vulnerabilità e della velocità con cui riteniamo che possa essere creato un exploit operativo affidabile, abbiamo deciso di fare un'eccezione alla politica per ritardare la divulgazione delle quattro vulnerabilità che consentono l'accesso da Internet a esecuzione di codice remoto in banda base

In parole povere: se dovessimo dirti come funzionano questi bug, renderemmo fin troppo facile per i criminali informatici iniziare a fare cose davvero cattive a molte persone impiantando furtivamente malware sui loro telefoni.

In altre parole, anche Google, che in passato ha suscitato polemiche per aver rifiutato di prorogare i termini di divulgazione e per aver pubblicato apertamente codice proof-of-concept per zero-days ancora senza patch, ha deciso di seguire lo spirito del suo responsabile di Project Zero processo di divulgazione, piuttosto che attenersi alla lettera.

L'argomentazione di Google per attenersi generalmente alla lettera e non allo spirito delle sue regole di divulgazione non è del tutto irragionevole. Utilizzando un algoritmo inflessibile per decidere quando rivelare i dettagli dei bug senza patch, anche se quei dettagli potrebbero essere usati per il male, l'azienda sostiene che si possono evitare lamentele di favoritismi e soggettività, come "Perché l'azienda X ha ottenuto tre extra settimane per correggere il bug, mentre la società Y no?"

Cosa fare?

Il problema con i bug annunciati ma non completamente divulgati è che è difficile rispondere alle domande: “Sono interessato? E se sì, cosa dovrei fare?"

Apparentemente, la ricerca di Google si è concentrata su dispositivi che utilizzavano un componente modem in banda base con marchio Samsung Exynos, ma ciò non significa necessariamente che il sistema su chip si identificherebbe o si marchierebbe come Exynos.

Ad esempio, i recenti dispositivi Pixel di Google utilizzano il sistema su chip di Google, con marchio tensore, ma sia Pixel 6 che Pixel 7 sono vulnerabili a questi bug in banda base ancora semi-segreti.

Di conseguenza, non possiamo fornirti un elenco definitivo dei dispositivi potenzialmente interessati, ma Google segnala (il corsivo è nostro):

Sulla base delle informazioni provenienti da siti Web pubblici che mappano i chipset ai dispositivi, i prodotti interessati probabilmente includono:

  • Dispositivi mobili da Samsung, compresi quelli in S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 e A04 serie;
  • Dispositivi mobili da Vivo, compresi quelli in S16, S15, S6, X70, X60 e X30 serie;
  • I 6 pixel ed 7 pixel serie di dispositivi da Google, E
  • tutti i veicoli che utilizzano il Exynos Auto T5123 chipset.

Google afferma che il firmware in banda base di Pixel 6 e Pixel 7 è stato aggiornato come parte degli aggiornamenti di sicurezza Android di marzo 2023, quindi gli utenti Pixel dovrebbero assicurarsi di disporre delle patch più recenti per i propri dispositivi.

Per altri dispositivi, diversi fornitori potrebbero impiegare tempi diversi per spedire i loro aggiornamenti, quindi verifica con il tuo fornitore o gestore di telefonia mobile per i dettagli.

Nel frattempo, questi bug possono apparentemente essere aggirati nelle impostazioni del tuo dispositivo, se:

  • Disattiva le chiamate Wi-Fi.
  • Disattiva Voice-over-LTE (VoLTE).

In Google parole, "la disattivazione di queste impostazioni eliminerà il rischio di sfruttamento di queste vulnerabilità".

Se non hai bisogno o non usi queste funzionalità, puoi anche disattivarle comunque fino a quando non sai con certezza quale chip modem è presente nel tuo telefono e se necessita di un aggiornamento.

Dopotutto, anche se il tuo dispositivo risulta essere invulnerabile o già patchato, non c'è alcun aspetto negativo nel non avere cose che non ti servono.

In primo piano Immagine da Wikipedia, per utente Kof3, sotto un CC BY-SA 3.0 licenza.

Timestamp:

Di più da Sicurezza nuda