I ricercatori Google hanno scoperto una grave vulnerabilità al momento priva di patch sul proprio sistema operativo Android. Il bug colpisce i Pixel 1 e 2, Huawei P20, Samsung Galaxy S7, S8 e S9, e altri dispositivi. Il problema è stato portato alla luce solo sette giorni dopo averlo trovato, ma tra le curiosità si scopre che è già stato risolto sulle versioni di sistema più datate.
Stranamente, il bug – che interessa Android 8.x e versioni successive – è stato scoperto e corretto a dicembre 2017 su versioni precedenti del sistema operativo. Tuttavia, la correzione non è stata apportata sulle versioni più recenti di sistema, che in teoria dovrebbero essere anche quelle più sicure.
L’exploit è stato scoperto dal team Project Zero di Google e dal suo gruppo di analisi minacce, secondo cui è stato utilizzato in attacchi da parte del gruppo israeliano NSO. Questa società è stata in passato accreditata di essere centro di ulteriori attacchi hacker, tutti legati a campagna sui diritti umani e altre attività di natura politica.
Google ha affermato che la vulnerabilità non è pericolosa come altre in passato, in quanto “richiede l’installazione di un’applicazione dannosa per essere realmente sfruttata”. Ciò significa che non potrà essere attivata da un browser Web o da altra app senza exploit aggiuntivi già in atto.
In passato Google si è resa protagonista di comportamenti che hanno attirato le ire di altre società terze, per aver rivelato alcune vulnerabilità prima che delle dovute correzioni. La società ha dichiarato di aver informato i partner Android e di aver reso disponibile la patch per il kernel comune Android. I dispositivi Pixel 3 e 3a non sono vulnerabili, ha spiegato Big G, mentre i dispositivi Pixel 1 e 2 riceveranno aggiornamenti per questo problema a ottobre. Altri dispositivi interessati sono Xioami Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Oppo A3 e Moto Z3.
Anche per questi, naturalmente, sono attesi i dovuti fix.
