Google ha avvertito che un fornitore di sorveglianza commerciale stava sfruttando tre vulnerabilità di sicurezza zero-day nei nuovi smartphone Samsung che avrebbero potuto essere sfruttate per rubare i dati degli utenti. Tutte e tre le vulnerabilità erano presenti nei componenti personalizzati del produttore piuttosto che nella piattaforma Android Open Source Project (AOSP) o nel kernel Linux.
“Pur comprendendo che Samsung non ha ancora annotato alcuna vulnerabilità come in-the-wild, in futuro Samsung si è impegnata a condividere pubblicamente quando le vulnerabilità possono essere sfruttate in modo limitato e mirato, come parte delle loro note di rilascio”, ha aggiunto Stone in un post sul blog. “Ci auguriamo che, come Samsung, altri si uniscano ai loro colleghi del settore per divulgare quando ci sono prove che suggeriscono che una vulnerabilità viene sfruttata in-the-wild in uno dei loro prodotti”.
Il Threat Analysis Group (TAG) di Google ha ottenuto una catena di exploit parziale per i dispositivi Samsung che ritiene appartenere a un fornitore di sorveglianza commerciale. “Tutte e tre le vulnerabilità si trovano all’interno di componenti personalizzati di Samsung, compresa una vulnerabilità in un componente Java”, ha dichiarato il team. Il campione di exploit ha preso di mira i telefoni Samsung con kernel 4.14.113 e SOC Exynos. “I telefoni Samsung utilizzano uno dei due tipi di SOC a seconda del luogo di vendita. Ad esempio, i telefoni Samsung venduti negli Stati Uniti, in Cina e in alcuni altri Paesi utilizzano un SOC Qualcomm, mentre i telefoni venduti nella maggior parte degli altri Paesi (ad esempio Europa e Africa) utilizzano un SOC Exynos”, ha dichiarato il team di Google. Esempi di telefoni Samsung che eseguivano il kernel 4.14.113 alla fine del 2020 (quando è stato trovato questo campione) includono gli smartphone S10, A50 e A51, ha aggiunto il team. “L’analisi di questa catena di exploit ci ha fornito nuove e importanti informazioni su come gli aggressori prendono di mira i dispositivi Android. Evidenzia la necessità di ulteriori ricerche sui componenti specifici del produttore”, ha dichiarato Google.
