Solo le falle di sicurezza più famose attirano l’attenzione dei produttori? Nei Galaxy S4 presente un bug noto da più di un anno

Negli ultimi tempi è diventata molto famosa Stagefright, una vulnerabilità presente in tutti i dispositivi android che in queste settimane molti produttori si stanno impegnando a risolvere attraverso il rilascio di appositi aggiornamenti software.

Purtroppo anche se non se ne parla affatto i potenziali problemi di sicurezza che affliggono i nostri smartphone sono molti di più, ma a quanto pare alla fine soltanto quelli più famosi riescono ad essere presi in considerazione in maniera seria.

stagefritht

E’ il caso della vulnerabilità scoperta quasi per caso dalla Quarkslab più di un anno fa, ma per cui la Samsung ancora oggi non ha ancora preso adeguati provvedimenti.

I tecnici della società specializzata in sicurezza informatica mentre lavoravano a progetti completamente differenti avevano individuato nei kernel dei Galaxy S4 la presenza di 5 vari tipi di bug legati alla gestione della memoria, tutti utilizzabili da dei malintenzionati per riuscire a catturare informazioni sensibili salvate nello smartphone.

Da come si può vedere dalla timeline condivisa nel loro sito l’8 agosto 2014 la Quarkslab ha subito avvisato la Samsung dell’esistenza del problema, ma la società koreana ha fornito una prima risposta solamente a novembre (dopo che il loro articolo era stato pubblicato).

Nei mesi successivi la vulnerabilità è stata poi catalogata anche dai database CVE, ma fino all’11 settembre 2015 il Samsung Security Team non aveva ancora rilasciato una patch.

  • Feb 03 2014 – Vulnerabilities found
  • Aug 08 2014 – Report sent to the Samsung Security Team
  • Nov 24 2014 – Samsung confirmed the security issues
  • Feb 11 2015 – Private CVE request sent to the Mitre team but no response
  • Feb 18 2015 – Second private CVE request sent to the Mitre team but no response
  • Mar 16 2015 – CVE request sent to Kurt Seifried
  • Mar 17 2015 – CVE assigned: CVE-2015-1800 (1 bug) and CVE-2015-1801 (4 bugs)
  • Sep 11 2015 – Last attempt to obtain a patch from the Samsung Security Team
  • Sep 21 2015 – Still not patched by Samsung on the JB and KK families: going full disclosure
  • Sep 22 2015 – Samsung confirmed us these vulnerabilities are patched only on the LL family

Solamente negli ultimi giorni la Samsung ha comunicato alla Quarkslab di aver provveduto a correggere i bug segnalati, ma solo nei firmware Lollipop perché in quelli basati su Jelly Bean e KitKat la vulnerabilità non verrà affatto corretta.

Per ora non sappiamo se il problema riguarda anche altri Galaxy e quale potrebbe essere il suo effettivo livello di pericolosità, quello che lascia però perplessi è la serietà con cui i vari produttori affrontano veramente il problema della sicurezza nonostante tutti i loro proclami in merito.

 

fonte quarkslab.com, via xda portal