Bug Quadrooter, Google rilascia le patch finali

Con il bollettino di settembre, Google chiude l'ultima vulnerabilità Quadrooter, mentre in Android 7.0 Nougat è stato riscritto il componente mediaserver.
Bug Quadrooter, Google rilascia le patch finali
Con il bollettino di settembre, Google chiude l'ultima vulnerabilità Quadrooter, mentre in Android 7.0 Nougat è stato riscritto il componente mediaserver.

Circa un mese fa, i ricercatori di Check Point avevano scoperto quattro vulnerabilità, denominate Quadrooter, nei driver dei chip Qualcomm integrati nella maggioranza dei dispositivi Android. Google aveva già rilasciato aggiornamenti di sicurezza per tre di esse e, come processo, ha ora distribuito la patch che risolve anche il quarto bug. Intanto, l’azienda di Mountain View ha riprogettato da zero alcune parti del sistema operativo per evitare future vulnerabilità Stagefright.

Le quattro falle Quadrooter possono essere sfruttate mediante l’installazione di un malware nascosto in un’app infetta, distribuita tramite APK e camuffata da app legittima. Un simile exploit consente di accedere ai dati personali dell’utente, tracciare gli spostamenti tramite GPS, intercettare le password digitate sulla tastiera, registrare le conversazioni con microfono e fotocamere. Qualcomm aveva comunicato che le patch relative sono state distribuite tra aprile e luglio, per cui toccava a Google compiere il passo successivo.

Con le patch parziali del 5 settembre e completa del 6 settembre, l’azienda di Mountain View ha risolto tutte le vulnerabilità, come si può vedere nella pagina del bollettino di sicurezza. Purtroppo il problema riguarda oltre 900 milioni di dispositivi Android, molti dei quali non verranno mai aggiornati dai rispettivi produttori o dagli operatori telefonici. È quindi assolutamente sconsigliato installare app da fonti sconosciute.

Un anno fa era salito agli onori delle cronache un altro grave problema di sicurezza. I ricercatori di Zimperium Mobile Security avevano scoperto diverse vulnerabilità nella libreria Stagefright che elabora i formati multimediali. In breve era possibile accedere allo smartphone, inviando un messaggio MMS, un file MP3 o un video MP4.

Google ha rilasciato le patch in pochi giorni, ma ha deciso di riprogettare da zero il componente mediaserver per impedire possibili attacchi futuri. Anche in questo caso, però, la novità riguarda solo i dispositivi più recenti, in quanto il nuovo mediaserver è stato incluso in Android 7.0 Nougat. Difficilmente l’aggiornamento verrà distribuito per smartphone antecedenti al 2015.

Ti consigliamo anche

Link copiato negli appunti