• Mutimedia Web la Web Agency Italiana. Contattateci per preventivi gratuiti e consulenze nello sviluppo del vostro sito web o app Ios e Android. Professinalità e assistenza garatite!
    Immagini dei quadri e opere di: Giuseppe Lattanzio

  • Social

    [easy-social-share buttons="facebook,twitter,pinterest,linkedin,digg,stumbleupon,vk,tumblr,print,mail,del,reddit,whatsapp" counters=0 hide_names="force" template="grey-blocks-retina"]

  • Contatti

    +39 347 2625439

    Form Contatti

  • WEB AGENCY

  • Sede Principale

    Multimedia Web

    Blog Studio Web

    Studio Web

    Sede a Venezia

    Web Agency Venezia

    Sede a New York

    Nyc Web Design

    Sede International

    Web Designer International

    Sito Demo One Page

    Spaghetti Web

    Landing page

    Savinus

  • smartphone

    Trovaci sul tuo smartphone

  • web-designer-ancona

  • AGENZIA WEB ITALIA

Home / News / Google Project Zero: modifiche al kernel e rischi per la sicurezza di Android

Google Project Zero: modifiche al kernel e rischi per la sicurezza di Android


Secondo i ricercatori di sicurezza del Google Project Zero le modifiche al kernel Linux eseguite dai produttori di device mobile potrebbero mettere a rischio la sicurezza di Android.

A rendere nota questa problematica è stato il ricercatore di sicurezza Jann Horn tramite un articolo pubblico sul blog ufficiale del progetto:

Su Android è molto comune che i vari vendor aggiungano patch al kernel Linux che servono per il funzionamento dei propri device. Tuttavia non di rado questo codice aggiuntivo espone il sistema operativo a diverse vulnerabilità. Ecco perché il team di Android ha cercato di ridurre l’impatto di tali patch andando bloccare i processi con accesso diretto ai driver del dispositivo. Infatti i moderni smartphone Android accedono alle risorse del device tramite l’Hardware Abstraction Layer.

Ritengo che le modifiche [dei vari vendor] debbano essere incluse come userspace driver e non a livello del kernel. Con questa impostazione è possibile implementare determiniate feature tramite un linguaggio di programmazione robusto o dirittamente in una sandbox. In questo modo il produttore può inoltre aggiornare il device alla versione del kernel Linux più recente senza porsi troppi problemi.

Google Project Zero è il nome di un team dell’azienda di Mountain View formato da analisti di sicurezza informatica che si occupano dell’individuazione di vulnerabilità zero-day. In questi ultimi mesi Jann Horn si è occupato della gestione di un memory corruption bug scoperto all’interno delle build del kernel Linux realizzate da Samsung per lo smartphone Galaxy A50 (A505FN).

Questa criticità, che è già stata risolta tramite il rilascio di un patch correttiva distribuita in questi giorni, riguardava il security subsystem PROCA (Process Authenticator) ideato dall’azienda coreana. Il bug, etichettato come SVE-2019-16132, avrebbe permesso ad un utente malintenzionato di eseguire in modo arbitrario del codice con i privilegi di utente root.

Il sistema PROCA è stato pensato per contrastare le azioni degli utenti che hanno ottenuto illecitamente i poteri di lettura/scrittura sul kernel. Tuttavia secondo Horn questa “custom feature” potrebbe rivelarsi inutile dato che il kernel Linux dispone già di diversi strumenti pensati per impedire che gli utenti accedano alle risorse senza autorizzazione.

Via Zdnet



Source link

Posted on by admin in News