Dietro a un aggiornamento apparentemente ordinario si nasconde una delle minacce più serie alla sicurezza degli smartphone Android. Proprio in questi giorni infatti Google ha corretto due vulnerabilità zero-day, scoperte dopo un’indagine condotta da Amnesty International. Una di queste falle, identificata come CVE-2024-53197, è stata utilizzata per spiare un attivista serbo.
L’attacco è avvenuto tramite una catena di tre exploit sfruttati da Cellebrite. Ovvero un’azienda israeliana che fornisce strumenti forensi a governi e forze dell’ordine. L’indagine, condotta in collaborazione con Benoît Sevens del Threat Analysis Group di Google, ha rivelato che il telefono dell’attivista è stato compromesso senza il suo consenso.
Google attua una risposta tempestiva, ma non priva di rischi
Le autorità locali, secondo Amnesty, avrebbero impiegato il software Cellebrite per aggirare le difese dello smartphone e accedere ai suoi contenuti. Questo episodio riaccende così il dibattito sull’uso dei software di sorveglianza. I quali, in teoria, dovrebbero aiutare le forze dell’ordine, ma spesso finiscono per essere usati contro dissidenti, giornalisti e attivisti. Amnesty non ha fornito ulteriori dettagli sull’identità del soggetto coinvolto. Ma ha ribadito la pericolosità di queste tecnologie nelle mani sbagliate. L’intervento di Google ha messo fine alla vulnerabilità, tuttavia l’episodio ha comunque già lasciato il segno.
Come detto, il colosso di Mountain View ha risposto rapidamente. In particolare ha pubblicato una patch di sicurezza per correggere entrambe le falle. La seconda, nota come CVE-2024-53150, è stata anch’essa individuata da Sevens, ma per ora sono disponibili meno informazioni tecniche. Si sa soltanto che riguarda il kernel del sistema operativo e potrebbe avere effetti gravi se sfruttata. Non vi è stata poi alcuna conferma ufficiale su un eventuale utilizzo in attacchi reali.
Il bollettino di sicurezza ha descritto una delle due vulnerabilità come un problema critico. In grado di garantire accesso remoto completo senza che l’utente debba compiere alcuna azione. Google ha comunicato che il codice delle patch è stato reso disponibile entro 48 ore dalla pubblicazione, ma l’effettiva distribuzione dipende dai produttori dei dispositivi. A causa della frammentazione del sistema Android, molti smartphone rischiano di restare senza aggiornamenti anche per mesi.
