Tutti i telefoni Android sono a rischio attacco, tranne questi
Una grave falla di sicurezza interessa la gran parte degli smartphone Android circolanti e, per risolverla, ci vorrà tempo
E’ stata classificata con il codice CVE-2024-32896 e gli è stato assegnato un indice di pericolosità molto alto (8,1/10), interessa la maggior parte dei telefoni Android e, purtroppo, al momento non ha una soluzione.
Stiamo parlando dell’ultima vulnerabilità del sistema operativo per smartphone di Google, un pericoloso bug di sicurezza che potrebbe permettere agli hacker di prendere possesso dei telefoni da remoto. Secondo Google, inoltre, “esistono indizi che indicano che CVE-2024-32896 potrebbe essere oggetto di uno sfruttamento limitato e mirato“.
Quali telefoni sono a rischio
La gestione della vulnerabilità CVE-2024-32896 non è stata per nulla ottimale da parte di Google, perché il colosso di Mountain View ha inizialmente ritenuto che il bug interessasse solamente i suoi smartphone Pixel. Per questo motivo, già ad aprile, li ha aggiornati con una patch di sicurezza specifica riservata ai suoi modelli.
Poi, però, Samsung ha scoperto che il bug interessava anche i suoi Galaxy e, da qui, è emerso che tutti i telefoni Android vanno aggiornati. Ma l’aggiornamento ancora non c’è, perché solo Google ha pubblicato quello specifico per i suoi telefoni, che non può essere installato su quello degli altri automaticamente.
Ciò è dovuto al fatto che per risolvere il bug non basta un comune aggiornamento, ma serve un update del firmware del telefono, cioè un tipo di aggiornamento che può scrivere solo chi ha prodotto quel modello.
Di questo bug, tra l’altro, si sa pochissimo e questo capita soprattutto quando il bug è molto grave. Ad aprile, quando Google ha rilasciato l’aggiornamento per risolvere il problema, nel pacchetto c’erano le patch per altri tre bug gravi. Nella spiegazione di accompagnamento dell’update Google affermava che questi quattro bug erano “attivamente usati da compagnie di analisi forense“.
Cioè da aziende che guardano dentro i telefoni degli indagati, in cerca di indizi. Da qui l’ipotesi che, molto probabilmente, tramite il bug CVE-2024-32896 è possibile spiare gli utenti, anche da remoto.
Cosa devono fare gli utenti
Chi ha un telefono Google Pixel è fortunato: già da aprile è al sicuro e non può essere attaccato. Tutti gli altri possessori di smartphone Android, invece, sono potenzialmente a rischio.
Google sta lavorando alla pubblicazione di una patch di sicurezza generica per tutti i telefoni non Pixel, che poi andrà inserita da ogni singolo produttore in un aggiornamento specifico per ogni modello di telefono che ha in gamma e che ancora riceve gli aggiornamenti di sicurezza.
Ci vorrà del tempo, purtroppo, e intanto gli smartphone restano attaccabili. Per fortuna, però, a detta di Google realizzare un attacco sfruttando la CVE-2024-32896 non è un lavoro alla portata di tutti: solo un hacker esperto ha le competenze per farlo.
