La patch di sicurezza di aprile per Android non ha risolto la vulnerabilità di sicurezza "Dirty Pipe", ma alcuni OEM stanno implementando le proprie soluzioni.
Google ha rilasciato il Aggiornamento di sicurezza Android per aprile all'inizio di questa settimana, ma la patch non includeva una correzione per la vulnerabilità della sicurezza "Dirty Pipe". che è stato ampiamente pubblicizzato il mese scorso. Anche se probabilmente dovremo aspettare fino all'aggiornamento di maggio per correggere la maggior parte dei dispositivi, alcuni produttori hanno iniziato ad applicare patch ai propri dispositivi, incluso lo stesso Google.
Dirty Pipe (CVE-2022-0847) è un exploit scoperto nel kernel Linux che consente a qualcuno di iniettare e sovrascrivere dati in processi di sola lettura, senza autorizzazioni di root o di amministratore. La vulnerabilità è già stata utilizzata per ottenere un accesso root temporaneo su Android, ma potrebbe anche consentire a malware e altri software sconosciuti di ottenere l'accesso al sistema.
Dirty Pipe è stato ora corretto nel kernel Linux (con le versioni 5.16.11, 5.15.25 e 5.10.102), così come la versione Android del kernel Linux, ma la patch non era inclusa nell'aggiornamento di sicurezza di aprile. Arriverà presumibilmente con l'aggiornamento di maggio, ma non tutti vogliono aspettare così a lungo. Alcuni kernel personalizzati per Pixel 6 e Pixel 6 Pro includono la patch, incluso il Nocciolo di Kirisakura. Android QPR3 Beta 2 di Google per Pixel 6 e Pixel 6 Pro, che era rilasciato giovedì, ha un versione del kernel patchata.
Samsung sembra essere l'unico produttore a lanciare una correzione per i telefoni con software stabile, come parte del mese di aprile Aggiornamento 2022 sui dispositivi Galaxy: il bollettino sulla sicurezza dell'azienda menziona CVE-2022-0847 e l'aggiornamento è stato verificato per bloccare gli attacchi Dirty Pipe. Lo Xiaomi 12/12 Pro ancora sembrano essere vulnerabili, poiché finora questi telefoni non hanno ricevuto l'aggiornamento di sicurezza di aprile 2022 in nessuna regione. OnePlus non ha rilasciato il codice sorgente del kernel per il 10 Pro, né ha ancora lanciato l'aggiornamento di aprile.
Dovremo aspettare e vedere quali produttori attendono l'aggiornamento di maggio e quali aziende rilasciano un aggiornamento in anticipo (come sta facendo Samsung). In ogni caso, probabilmente per il momento dovresti evitare di installare APK imprecisi.