Google critica le modifiche di Samsung al kernel Android: "Aggiungono nuove vulnerabilità"
Il ricercatore di Project Zero punta il dito contro le personalizzazioni di sicurezza che Samsung aggiunge al kernel linux di Android. Al centro della questione l'accusa di esporre i dispositivi ad ulteriori vulnerabilità di sicurezza
by Giuseppe RussoFin dalle prime personalizzazioni di Android, Samsung ha cercato di dare un imprinting per irrobustire la sicurezza dei suoi smartphone, una delle più famosa è il set di funzionalità Samsung Knox. A muovere l'accusa che tali iniziative a volte fanno più male di quanto aiutino è Google, produttore che realizza il kernel che muove Android. Più nello specifico l'accusa di Google è apportare delle modifiche non necessarie che anziché irrobustire la sicurezza espongono i dispositivi ad ulteriori minacce perché comportano alcuni bug di sicurezza non tracciati. "Questo codice è una frequente fonte di vulnerabilità alla sicurezza" secondo il ricercatore di Google Project Zero, Jann Horn.
A livello tecnico, dalle parole del ricercatore, emerge che Samsung aggiungendo driver personalizzati per l'hardware del dispositivo consentirebbe l'accesso diretto al kernel Linux di Android senza passare per il layer intermedio HAL (Hardware Abstraction Layer), in questo modo si generano delle vulnerabilità aggiuntive.
Horn ha riscontrato tale pratica nel kernel Android del Galaxy A50. Su questo dispositivo è presente un sottosistema di sicurezza aggiuntivo creato da Samsung chiamato "PROCA" (abbreviazione di Process Authenticator) per tenere traccia delle identità dei processi. Se PROCA è utilizzato per prendere decisioni di autenticazione, ciò potrebbe consentire a un utente malintenzionato di impersonare un eseguibile privilegiato durante l'esecuzione di codice di proprietà dell'attaccante e corrompere in questo modo il file system del dispositivo.
Sul sito di Samsung il bug viene minimizzato come un problema moderato, ma in realtà viene comunque riportato che "è possibile l'esecuzione di codice arbitrario" su alcuni smartphone Galaxy con sistema operativo Android 9.0 e Android 10.
La segnalazione del bug è stata notificata da parte Google lo scorso novembre; la patch, però, è stata rilasciata soltanto all'inizio di febbraio.
Nella sua analisi, Horn ha specificato come il team di Android si concentra sugli sforzi per ridurre l'impatto sulla sicurezza del codice personalizzato che viene aggiunto al kernel Linux dai produttori hardware. Google sta cercando di bloccare i processi che hanno accesso ai driver di dispositivo, ma le modifiche al kernel apportate da marchi come Samsung compromettono tali sforzi.
Secondo il ricercatore, quindi, alcune delle funzionalità di personalizzazione che Samsung e altri produttori aggiungono al kernel Linux su cui si basa Android sono poco utili e la loro eventuale rimozione non andrebbe a peggiorare la sicurezza dei dispositivi.