Google non ha inserito la chiusura di una vulnerabilità piuttosto seria chiamata “Mucca pazza (Dirty Cow)”, nella patch di sicurezza Android di novembre. La vulnerabiltà prende il nome dalla “copy on write”, la tecnica di gestione della memoria, il buco è presente in quasi tutte le versioni di Android che Google ha incorporato nel kernel di Linux. E’ stato reso pubblico solo lo scorso ottobre, anche se, una parte di un rilascio coordinato che avrebbe dovuto garantire una correzione, è stato creato prima che gli utenti ne venissero a conoscenza. Ma l’aggiornamento della protezione di questo mese non chiude il problema, e questo ci lascia un pò stupiti.
La vulnerabilità è molto più preoccupante per i possessori di un dispositivo Android con Root, in quanto consente agli sviluppatori di aggirare il sistema operativo, senza trovare le limitazioni ed i blocchi esclusi proprio dall’accesso root. Tuttavia, l’exploit può essere incorporato anche in App, in modo da eludere le misure di sicurezza anche del sistema Android nativo. Nel gennaio di quest’anno, i ricercatori di sicurezza hanno riferito di almeno 13 applicazioni nel Play Store di Google che sfruttano le vulnerabilità di radicazione, tra cui il citato Mucca Pazza.
Google sostiene la patch per chiudere la falla, sarà rilasciata nel mese di dicembre. Purtroppo, gli aggiornamenti della protezione Google rilasciati, raggiungeranno solo i dispositivi Nexus/Pixel e un piccolo numero di telefoni di aziende come la Samsung. Questo significa che la stragrande maggioranza degli smartphone Android, rimarranno forse per sempre con questa vulnerabilità. Staremo a vedere.