Google ha recentemente risolto una grave vulnerabilità di sicurezza che interessava il kernel di Android, sfruttata attivamente in ambienti reali. La vulnerabilità, identificata come CVE-2024-36971, è stata descritta come un caso di esecuzione di codice remoto che colpisce il kernel. Secondo Google, ci sono indicazioni che questa falla possa essere sfruttata in modo limitato e mirato, sebbene l'azienda non abbia rilasciato ulteriori dettagli sulla natura degli attacchi informatici o sui gruppi di minaccia coinvolti. Non è ancora chiaro se anche i dispositivi Pixel siano stati interessati da questo bug.
Clement Lecigne del Threat Analysis Group (TAG) di Google
Clement Lecigne del Threat Analysis Group (TAG) di Google ha segnalato la falla, suggerendo che potrebbe essere sfruttata da fornitori di spyware commerciali per infiltrarsi nei dispositivi Android attraverso attacchi mirati. La patch di agosto affronta un totale di 47 vulnerabilità, comprese quelle identificate in componenti associati ad Arm, Imagination Technologies, MediaTek e Qualcomm. Tra le altre vulnerabilità risolte, ci sono 12 falle di escalation di privilegi, un bug di divulgazione di informazioni e un difetto di denial-of-service (DoS) che colpisce il Framework di Android.
Problemi di elevazione di privilegi nel firmware dei dispositivi Pixel
Nel giugno 2024, Google ha rivelato che un problema di elevazione di privilegi nel firmware dei dispositivi Pixel (CVE-2024-32896) è stato sfruttato come parte di attacchi limitati e mirati. Google ha successivamente comunicato che l'impatto del problema va oltre i dispositivi Pixel, coinvolgendo l'intera piattaforma Android, e che sta collaborando con i partner OEM per applicare le correzioni dove necessario. In precedenza, l'azienda aveva risolto due falle di sicurezza nei componenti del bootloader e del firmware (CVE-2024-29745 e CVE-2024-29748) utilizzate da aziende forensi per rubare dati sensibili.
Cybersecurity and Infrastructure Security Agency (CISA)
Questo sviluppo arriva mentre la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto la vulnerabilità CVE-2018-0824, un difetto di esecuzione di codice remoto che colpisce Microsoft COM per Windows, al suo catalogo Known Exploited Vulnerabilities (KEV). Le agenzie federali sono tenute a applicare le correzioni entro il 26 agosto 2024. L'aggiunta segue un rapporto di Cisco Talos che indica che la vulnerabilità è stata sfruttata da un attore di minacce statale cinese, noto come APT41, in un attacco informatico mirato a un istituto di ricerca affiliato al governo taiwanese per ottenere un'escalation di privilegi locali.