/https://www.html.it/app/uploads/2025/03/Google-1.jpg "Google corregge zero-day di Android sfruttato dalle autorità serbe")
Google ha rilasciato l'aggiornamento di sicurezza di marzo 2025 per Android, correggendo 43 vulnerabilità, tra cui due zero-day attivamente sfruttati in attacchi mirati. Secondo i report, le autorità serbe avrebbero utilizzato uno di questi zero-day, CVE-2024-50302, una vulnerabilità di divulgazione di informazioni di gravità elevata nel driver del kernel Linux per dispositivi Human Interface. Questo exploit sarebbe stato impiegato per sbloccare dispositivi confiscati ed è parte di una catena di attacchi zero-day sviluppata dalla società israeliana Cellebrite. La catena di exploit include anche CVE-2024-53104, una vulnerabilità USB Video Class corretta il mese scorso. Inoltre, nel 2024, il Security Lab di Amnesty International ha scoperto un'altra vulnerabilità zero-day nel driver ALSA USB-sound mentre analizzava i registri di un dispositivo sbloccato dalle autorità serbe.
Google: i dettagli delle altre vulnerabilità risolte dall’azienda
Il secondo zero-day corretto questo mese, CVE-2024-43093, è una vulnerabilità di escalation dei privilegi in Android Framework. Questo exploit consente agli attaccanti locali di accedere a directory sensibili a causa di un errore nella normalizzazione Unicode. In questo modo viene aggirato il filtro del percorso dei file senza bisogno di privilegi di esecuzione aggiuntivi o interazione dell'utente.
L'aggiornamento di sicurezza di marzo affronta anche 11 vulnerabilità che potrebbero permettere l'esecuzione di codice remoto su dispositivi vulnerabili. Google ha rilasciato due livelli di patch: 2025-03-01 e 2025-03-05. Il secondo livello include tutte le correzioni del primo, oltre a patch per sottocomponenti di terze parti e parti del kernel closed-source, che potrebbero non essere applicabili a tutti i dispositivi Android.
Come al solito, i dispositivi Google Pixel ricevono gli aggiornamenti immediatamente. Gli altri dispositivi dovranno invece attendere ancora un po’ prima di ottenere le patch. I produttori possono anche dare priorità al set di patch precedente per aggiornamenti più rapidi, il che non indica necessariamente un rischio di sfruttamento maggiore. A novembre 2024, Google ha corretto un altro zero-day, CVE-2024-43047, che era stato segnalato come attivamente sfruttato dal team Project Zero già nell'ottobre 2024. Questa vulnerabilità era stata usata dal governo serbo negli attacchi spyware NoviSpy, che avevano preso di mira attivisti, giornalisti e manifestanti con dispositivi Android.
/https://www.html.it/app/uploads/2025/03/Google-Play.jpg)
/https://www.html.it/app/uploads/2025/03/Google-4.jpg)
/https://www.html.it/app/uploads/2025/03/Google-2.jpg)
/https://www.html.it/app/uploads/2025/03/Google-Messages.jpg)