Ricercatori di sicurezza di Project Zero (Google) hanno scoperto una vulnerabilità su Android che sembra già essere sfruttata pubblicamente. A riportare la novità è stato ZDNet, che ha indicato alcuni fra gli smartphone che presentano il bug: fra questi nomi come Galaxy S7, S8, S9, e anche Huawei P20 o i diversi Google Pixel e Google Pixel 2.

Un portavoce del team Android ha confermato che se si installa un'app malevola sul device target o si abbina l'attacco ad un secondo exploit con un programma come un browser web è possibile "compromettere del tutto" il device target. Google ha già verificato che l'exploit è stato già utilizzato e sfruttato attraverso il suo Threat Analysis Group, e sembra ci siano tracce provenienti da NSO Group, che potrebbe aver usato o venduto lo strumento.

NSO è un fornitore di spyware israeliano che negli scorsi mesi è riuscito a penetrare anche su WhatsApp inoculando uno dei suoi spyware attraverso le chiamate gestite dal servizio. NSO Group ha recentemente smentito di essere alla base del nuovo attacco scoperto dal Project Zero, dichiarando alla stampa internazionale che "non vende, né mai venderà exploit o vulnerabilità". NSO ha specificato inoltre che la sua opera si concentra nello "sviluppo di prodotti progettati per aiutarele autorità di legge a salvare vite".

Visto che il bug è già stato utilizzato e sfruttato da terzi, Project Zero ha dato al team Android sette giorni di tempo prima di divulgare pubblicamente la notizia. È curioso notare, inoltre, che la falla è stata trovata il 27 Settembre 2019, tuttavia la stessa falla era stata segnalata anni fa e corretta a Dicembre 2017. Pare, insomma, che la vulnerabilità sia riemersa in una versione successiva del SO, e adesso è stata corretta nuovamente.

Di seguito riportiamo la lista dei dispositivi che si credono vulnerabili al nuovo bug divulgato, tuttavia lo stesso Project Zero avvisa che potrebbe non essere completa:

Pixel

Pixel XL

Pixel 2

Pixel 2 XL

Huawei P20

Xiaomi Redmi 5A

Xiaomi Redmi Note 5

Xiaomi A1

Oppo A3

Moto Z3

Smartphone LG con Android Oreo

Samsung Galaxy S7

Samsung Galaxy S8

Samsung Galaxy S9

Il team Android ha già comunicato che il bug era davvero presente e si trattava di un problema di "gravità elevata". La patch è già disponibile su Android Common Kernel e i partner commerciali sono stati informati: "Pixel e Pixel 2 riceveranno aggiornamenti relativi a questo problema come parte della patch di sicurezza di Ottobre", hanno detto i portavoce dell'azienda, che hanno poi sottolineato che Pixel 3 e Pixel 3A non sono vulnerabili.