Il team Project Zero di Google ha scoperto 11 gravi vulnerabilità nella versione di Android installata da Samsung sul Galaxy S6 edge. L’azienda di Mountain View sviluppa il codice sorgente del sistema operativo e rilascia aggiornamenti mensili per risolvere le falle di sicurezza. Samsung, come altri produttori, modifica la versione stock di Android aggiungendo le sue applicazioni e con esse numerosi bug che possono essere sfruttati per eseguire azioni pericolose per gli utenti.
I ricercatori di Google hanno esaminato lo smartphone Samsung per valutare le difficoltà associate alla scoperta delle vulnerabilità, quale tipo di bug è presente nel codice e se le tecnologie di protezione incluse in AOSP (Android Open-Source Project) possono ostacolare lo sviluppo degli exploit. Il team ha inoltre verificato il tempo impiegato per risolvere le vulnerabilità (Google rilascia patch mensili per i suoi Nexus). In una sola settimana sono stati trovati 11 problemi di sicurezza sul dispositivo del produttore coreano.
La vulnerabilità più grave è stata individuata nel servizio WifiHs20UtilityService che effettua la scansione del file system per cercare file zip da scompattare. Dato che la API non verifica il percorso del file, un malintenzionato potrebbe installare un file infetto in qualsiasi posizione con privilegi elevati. Altri bug sono stati scoperti nel client email, nei driver e nel parser delle immagini.
Le vulnerabilità sono state prontamente segnalate a Samsung. Otto sono state corrette con l’aggiornamento di ottobre, mentre le patch per le altre tre verranno distribuite nei prossimi giorni. Google ha tuttavia apprezzato la velocità con cui il produttore ha risolto i problemi.