Secondo un post sul blog di Google Project Zero (tramite TechCrunch), un trio di vulnerabilità zero-day in alcuni telefoni Samsung Galaxy più recenti è stato sfruttato da un fornitore di sorveglianza commerciale. Queste società potrebbero essere società di telecomunicazioni o tecnologiche che tracciano i propri clienti allo scopo di monetizzare i dati personali inviando pubblicità personalizzata. Oppure potrebbe essere più sinistro (ne parleremo più avanti).
Alcuni telefoni Samsung Galaxy che utilizzano il chipset Exynos nostrano presentavano queste vulnerabilità
Secondo il Federal Trade Commission, tali società si impegnano nella”raccolta, aggregazione, analisi, conservazione, trasferimento o monetizzazione dei dati dei consumatori e dei derivati diretti di tali informazioni”. E oltre a danneggiare i consumatori con queste azioni, la FTC sta cercando di raccogliere informazioni che dimostrino che queste azioni portano a danni psicologici, danni alla reputazione e intrusioni indesiderate che si verificano con la raccolta di questi dati personali.
Uno dei telefoni sfruttati è stato il Samsung Galaxy S10
Ma questa situazione specifica potrebbe essere più grave. Sebbene Google non abbia nominato un fornitore specifico di sorveglianza commerciale, ha affermato che il modello ricorda uno sfruttamento precedente che forniva”potente spyware di stato nazionale”tramite un’app Android dannosa. Le vulnerabilità rilevate nel software personalizzato di Samsung facevano parte di una catena di exploit che avrebbe consentito all’attaccante di ottenere privilegi di lettura e scrittura del kernel che potrebbero eventualmente rivelare dati personali sul telefono.
L’exploit prende di mira i telefoni Samsung Galaxy alimentati da un Exynos SoC usando il kernel 4.14.113. I telefoni che corrispondono a questa descrizione includono Samsung Galaxy S10, Galaxy A50 e Galaxy A51. Le versioni di questi telefoni venduti negli Stati Uniti e in Cina sono dotate di un chipset Qualcomm Snapdragon mentre nella maggior parte degli altri continenti come Europa e Africa viene utilizzato il SoC Exynos. Google afferma che l’exploit”si basa sia sul driver GPU Mali che sul driver DPU, che sono specifici dei telefoni Samsung Exynos”. Il sideload in questo caso significa scaricare un’app da un app store Android di terze parti che non è Google Play Store. Google ha segnalato a Samsung le vulnerabilità nel 2020 e, sebbene Sammy abbia inviato una patch a marzo 2021, la società non ha menzionato che le vulnerabilità venivano sfruttate attivamente.
Maddie Stone di Google, che ha scritto il post sul blog, afferma:”L’analisi di questa catena di exploit ci ha fornito nuove e importanti informazioni su come gli aggressori prendono di mira i dispositivi Android. Stone ha anche sottolineato che con ulteriori ricerche, potrebbero essere scoperte nuove vulnerabilità nel software personalizzato utilizzato sui dispositivi Android da produttori di telefoni come Samsung. Stone ha aggiunto:”Evidenzia la necessità di ulteriori ricerche sui componenti specifici del produttore. Mostra dove dovremmo fare un’ulteriore analisi delle varianti.”
Utilizza la sezione commenti sul Play Store o su un app store Android di terze parti per cercare segnali di allarme
Andando avanti, Samsung ha accettato di rivelare quando le sue vulnerabilità vengono attivamente sfruttate unendosi ad Apple e Google. Gli ultimi due produttori avvisano già gli utenti quando si sta verificando un tale evento. A giugno vi abbiamo parlato di uno spyware chiamato Hermit che è stato utilizzato dai governi sulle vittime prese di mira in Italia e Kazakistan. Simile al problema di sicurezza riscontrato sui tre telefoni Galaxy alimentati da Exynos, Hermit richiedeva che un utente caricasse un’app dannosa. Alla fine, questo malware avrebbe rubato i contatti, i dati sulla posizione, foto, video e registrazioni audio dal telefono della vittima.Una regola rapida e sporca che potrebbe ancora funzionare in questi giorni è quella di dare una buona occhiata alla sezione commenti prima di installare un’app di uno sviluppatore di cui non hai mai sentito parlare prima. le bandiere si presentano, scappano rapidamente da l’elenco di quell’app e non voltarti mai indietro. Un altro ottimo consiglio è di non eseguire il sideload di alcuna app. Sì, le app legate a malware in qualche modo superano la sicurezza di Google Play troppe volte, ma probabilmente è ancora meno probabile che tu venga”infettato”continuando a caricare app dal Play Store.
