In una sola settimana da analisi Google ha identificato 11 importanti falle nel software di Samsung per il Galaxy S6 Edge e altre sostanziali problematiche di particolare gravità. Le falle sono state identificate da Project Zero, il team di Google che si occupa di combattere le vulnerabilità zero-day, ossia i problemi sfruttabili da subito fino a quando non sono rilasciate patch specifiche.
Nel corso di una settimana il team di Google ha messo alla prova le misure di sicurezza tipicamente attaccate su Android allo scopo di capire se era possibile ottenere accesso in remoto a contatti, foto e messaggi, senza l’intervento dell’utente, sfruttare il telefono Android mediante app installate dal Google Play senza richiedere permessi all’utente, e installare e l’infezione del dispositivo mediante meccanismi in grado di resistere al “factory wipe” (la cancellazione di tutti i dati personali e il ripristino del sistema allo stato originale).
Il team di Google ha individuato processi di Samsung eseguiti con i più alti privilegi di sistema, per lo scompattamento dei file ZIP scaricati da qualsiasi URL; “purtroppo”, spiega Google, “le API usate per decomprimere il file non verificano il percorso e possono scrivere in posizioni inattese “, meccanismo facilmente sfruttabile per sfruttare a sua volta per l’exploit di altri bug con le directory.
Altro bug individuato riguarda il codice per la gestione delle mail di Samsung e che potrebbe consentire ad app malevole di reindirizzare le mail ad altri account senza sfruttare privilegi specifici. Una falla relativa alla condizione di errore buffer overflow è stata individuata in tre driver e potrebbe essere sfruttata nell’elaborazione dei file multimediali, sulla falsariga di quanto già visto con libStageFright, per scalare i privilegi del kernel.
Cinque altre falle sono state individuate nel codice per l’elaborazione delle immagini, due delle quali permettono di scalare i privilegi sfruttando un file corrotto nell’app Gallery; gli altri tre potrebbero essere sfruttati nel meccanismo di download delle immagini.
Il team di Google è rimasto sorpreso dalla velocità con la quale è riuscito a individuare alcune falle, alcune piuttosto banali da trovare. L’uso di SELinux (un modulo del kernel di Linux con specifici strumenti per la sicurezza) rende complesso indagare alcuni bug ma tre di essi ermettono di disabilitare anche SELinux e dunque questo non si rivela uno strumento che consente di mitigare possibili attacchi.
Alcuni ricercatori dell’Università di Cambridge hanno recentemente analizzato oltre 20 mila smartphone appartenenti a varie case produttrici e hanno scoperto che l’87,7% dei dispositivi Android era soggetto ad almeno una vulnerabilità importante. L’esperimento è stato condotto con l’aiuto di semplici utenti ai quali è stato chiesto di installare dal Google Play una speciale app denominata Device Analyzer (un’app che permette di verificare la resistenza dei dispositivi agli attacchi più comuni).
Il problema principale della sicurezza dei dispositivi Android è quello di sempre: non è Google a inviare gli aggiornamenti OTA (Over-The-Air), ma è il vendor-OEM che dovrebbe svolgere questo compito; gli aggiornamenti sono spesso ignorati o predisposti con eccessiva lentezza. Per alcuni dispositivi già dopo un anno non sono offerti aggiornamenti, lasciando operativi sul mercato dispositivi con vulnerabilità che non saranno mai risolte. Il problema non riguarda glo smartphone cinesi a basso costo e ma anche brand piuttosto noti.
Android è un sistema piuttosto vulnerabile e tale rimarrà fino a quando Google non deciderà di mettere in discussione in modello di distribuzione, creando di concerto con gli OEM un meccanismo affidabile per gli aggiornamenti.