Google esorta Samsung a smettere di minacciare la sicurezza di Android toccando il kernel Linux

0
samsung
samsung

“Il codice del kernel di Linux è a volte rigido – e le modifiche al suo codice di base, specialmente in un forte che non è stato verificato in anticipo, possono facilmente introdurre problemi sottili, anche quando le modifiche erano destinate implementare le funzioni di “sicurezza”, afferma il ricercatore di cybersecurity Jann Horn. Google Project Zero illustra in dettaglio una lunga analisi, le implicazioni di alcune modifiche del kernel eseguite da alcuni produttori, in particolare Samsung.

Inizialmente, l’autore era interessato a un bug che portava a un danneggiamento della memoria del kernel Android della ROM del Galaxy A50. Ma anche il fatto che una seconda vulnerabilità, risolta da tempo in altre versioni di Android upstream, ma non nel kernel Android degli smartphone Samsung, contribuisce a rendere sfruttabile il primo bug da parte degli hacker. I produttori sono abituati a modificare il kernel Android per adattarlo a vari modelli di smartphone.

Il problema è che i fornitori modificano spesso direttamente il kernel, piuttosto che accontentarsi di Hardware Abstraction Layer (HAL) che limita l’impatto di possibili violazioni della sicurezza che portano a modifiche specifiche del dispositivo. Tuttavia, il bug che porta paradossalmente alla corruzione della memoria è derivato dal tentativo di Samsung di rafforzare la sicurezza. Il bug è stato corretto nel frattempo, ma la domanda posta dal ricercatore è come, in questo contesto, ridurre la superficie degli attacchi per potenziali hacker.

“Ritengo che le modifiche al kernel specifiche del dispositivo sarebbero meglio spostate a monte o nei driver dello spazio utente, dove possono essere implementate in linguaggi di programmazione più semplici e / o sandbox, e che allo stesso tempo non saranno in grado di complicare gli aggiornamenti delle versioni più recenti del kernel “,  conclude il ricercatore.

L’analisi del ricercatore e le sue implicazioni sono piuttosto complesse, ma se vuoi andare oltre, ti consigliamo di leggere il post di Jann Horn (in inglese) sul blog post di Project Zero.

Daniel Aka
Author: Daniel Aka

Amante della tecnologia e amministrazione e creatore del sito. Con la passione della tecnologia e deciso nell'informare ogni genere di persona.

Lascia un commento

Please Login to comment