Google ha rivelato la presenza di Bug Zero-Day critici che interessano un’ampia gamma di telefoni Android, inclusi alcuni dei suoi modelli Pixel.
Nuovi Bug Zero-Day in vista per Android. Questi bug sono leggermente diversi dalle solite vulnerabilità di Android. Queste di solito interessano il sistema operativo (basato su Linux) o le applicazioni che lo accompagnano, come Google Play, Messaggi o il browser Chrome.
I quattro bug di cui stiamo parlando qui sono noti come baseband vulnerabilities, il che significa che esistono nel firmware dedicato alla gestione rete cellulare (non sono interessati i sistemi legati al Bluetooth e WiFi). Tale firmware gira sul chip dedicato proprio a questa attività.
Di quali sistemi parliamo?
E’ utile fare una piccola panoramica dell’architettura coinvolta. Questo ci aiuterà a capire dove possono annidarsi questi bug e le conseguenti vulnerabilità. I sistemi baseband in genere funzionano indipendentemente dai componenti non strettamente legati alla gestione telefonica. Eseguono di fatto un proprio sistema operativo, su un proprio processore, e lavorano insieme al sistema operativo principale del dispositivo per fornire connettività di rete mobile per effettuare e rispondere a chiamate, inviare e ricevere dati, roaming sulla rete ecc…Si tratta quindi di hardware e software baseband dedicati che costituiscono un modem integrato all’interno di quello che viene chiamato SoC del telefono (system on chip). Si tratta una ulteriore integrazione dei vari componenti che prima erano connessi attraverso la scheda madre.
I danni potenziali
Da questa piccola panoramica si può intuire come il nostro smartphone non è solo a rischio di cybercriminali a causa di bug nel sistema operativo principale o in una delle App. Lo è anche a a causa del sottosistema baseband che abbiamo descritto.
Questo tipo di bug consente a un utente malintenzionato di entrare nel modem e, potenzialmente, nel sistema operativo principale utilizzando con opportune tecniche. Anche non entrando nel sistema operativo principale però è possibile fare danni come “fiutare” i dati di rete che passano, accedere a messaggi di testo, monitorare le chiamate telefoniche e altro.
L’argomento poi si complica considerando che HW e SW Baseband dipendono dal dispositivo specifico che abbiamo e non dagli aggiornamenti derivanti dalla varie versioni di Android. Anche i dispositivi che sono sotto tutti gli aspetti uguali potrebbero avere chip baseband diversi a seconda di quale fabbrica li ha assemblati o in quale mercato sono stati venduti.
I Bug scoperti
I bug scoperti di recente da Google sono così descritti:
- CVE-2023-24033 (e altre tre vulnerabilità a cui devono ancora essere assegnate identità CVE) consentivano l’esecuzione di codice remoto da Internet verso la baseband. I test condotti da Google stessa, nell’ambito del suo Project Zero, confermano che queste quattro vulnerabilità consentono a un utente malintenzionato di compromettere da remoto il telefono a livello baseband. E’ sufficiente che l’attaccante conosca il numero di telefono della vittima.
Su questa base è verosimile che con attività di ricerca e sviluppo aggiuntive abili aggressori sarebbero in grado di creare rapidamente un exploit operativo per compromettere i dispositivi interessati in modo silenzioso e da remoto. I criminali potrebbero iniettare malware o spyware proprio in quella parte del telefono che invia e riceve dati di rete. Il tutto senza mettere le mani sul dispositivo.
C’erano 18 bug in questo ultimo batch, segnalati da Google tra la fine del 2022 e l’inizio del 2023. Google afferma che sta rivelando la loro esistenza ora perché è trascorso il tempo concordato (90 giorni) da quando sono stati individuati. In particolare per i quattro bug di cui sopra, la società non sta rivelando alcun dettaglio ulteriore per evitare che possano essere sfruttati velocemente. La conferma stessa da parte di Google significherebbe per tecnici malintenzionati un punto di partenza per lavorare sul bug.
Dispositivo coinvolti
Apparentemente, la ricerca di Google si è concentrata su dispositivi che utilizzavano un componente modem baseband con marchio Samsung Exynos, ma ciò non significa necessariamente che il SoC si identificherebbe o si marchierebbe come Exynos.
Ad esempio, i recenti dispositivi Pixel di Google utilizzano il SoC Tensor di Google, ma sia Pixel 6 che Pixel 7 sono vulnerabili a questi baseband bug. Bisogna tener conto delle possibili differenti catene di assemblaggio quindi le informazioni vanno comunque prese con le “molle”.
I prodotti interessati probabilmente includono:
- Dispositivi Samsung, inclusi quelli delle serie S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 e A04;
- Dispositivi mobili di Vivo, inclusi quelli delle serie S16, S15, S6, X70, X60 e X30;
- Dispositivi Pixel 6 e Pixel 7 di Google;
- Tutti i veicoli che utilizzano il chipset Exynos Auto T5123.
Google afferma che il baseband firmware di Pixel 6 e Pixel 7 è stato aggiornato come parte degli aggiornamenti di sicurezza Android di marzo 2023. Gli utenti Pixel quindi dovrebbero assicurarsi di disporre delle patch più recenti per i propri dispositivi. Peraltro aggiornare sempre il sistema operativo all’ultima versione disponibile è il consiglio che diamo sempre in questi casi.
Per gli altri dispositivi i diversi fornitori potrebbero impiegare tempi diversi per pubblicare i propri aggiornamenti.
Nel frattempo Google suggerisce di:
- Disattiva le chiamate Wi-Fi;
- Disattiva Voice-over-LTE (VoLTE).
Google afferma: “la disattivazione di queste impostazioni rimuoverà il rischio di sfruttamento di queste vulnerabilità”.