Vulnerabilità di 8 anni scoperta in Samsung KNOX: come proteggere i Galaxy

Una falla di sicurezza di lunga data nel sistema KNOX di Samsung potrebbe esporre milioni di smartphone Galaxy a potenziali attacchi a livello di kernel. La buona notizia è che Samsung ha rilasciato una correzione nell’aggiornamento di sicurezza di gennaio 2026: assicurarsi che il proprio dispositivo Galaxy abbia installato questo aggiornamento è il modo più rapido e sicuro per proteggersi.

Questa vulnerabilità, nota come use-after-free (UAF), riguarda un componente di sicurezza interno chiamato KNOX, progettato per proteggere i dispositivi Galaxy da software dannoso e accessi non autorizzati. Per anni, però, una parte del codice che gestisce la sicurezza dei processi è rimasta vulnerabile, senza che nessuno se ne accorgesse. Ora, grazie al lavoro di un team di ricerca, la falla è stata trovata, analizzata e corretta.

Per gli utenti comuni, il messaggio chiave è semplice: verificare subito la data dell’aggiornamento di sicurezza nelle impostazioni del proprio Galaxy e installare l’aggiornamento se mancante. In questo modo, il rischio di essere colpiti da exploit che sfruttano questa vulnerabilità viene drasticamente ridotto.

Cos’è il problema e perché è importante?

Samsung KNOX è un insieme di funzioni di sicurezza integrate nei dispositivi Galaxy, pensate per proteggere i dati sensibili e prevenire l’esecuzione di software malevolo. All’interno di KNOX, un componente chiamato PROCA (Process Authenticator) è responsabile di controllare quali processi possono girare sul telefono e con quali privilegi.

La falla si trova in una parte di questo sistema che gestisce la verifica dell’integrità dei file e dei processi, basata su una tecnologia chiamata FIVE (File-based Integrity Verification Engine). In pratica, ogni processo sul dispositivo tiene traccia del proprio stato di sicurezza attraverso un oggetto chiamato task_integrity. Un errore nel codice fa sì che, in determinate situazioni, il sistema possa accedere a questo oggetto dopo che è stato eliminato, causando una condizione di use-after-free.

Una vulnerabilità di questo tipo può permettere a un attaccante, se riesce a raggiungere il kernel del sistema, di leggere o modificare parti della memoria del dispositivo, potenzialmente arrivando al completo controllo del telefono. Per fortuna, il rischio dipende fortemente dall’accesso iniziale: in genere, sarebbe necessario un altro bug o un’applicazione malevola già installata sul dispositivo per raggiungere questo livello di accesso.

Quali dispositivi sono interessati?

Secondo le analisi, la vulnerabilità colpisce una vasta gamma di smartphone Galaxy, comprese le serie S e A, dal Galaxy S9 fino ai modelli più recenti. Sono coinvolti sia i dispositivi con chipset Exynos sia quelli con processori Qualcomm, e ogni versione di Android testata è risultata vulnerabile.

Il bug è presente sin dal momento in cui Samsung ha introdotto il sistema FIVE nel proprio kernel, intorno al 2017, il che significa che la falla ha potenzialmente reso vulnerabili i Galaxy per circa otto anni. La buona notizia è che, una volta applicato il patch, il rischio viene eliminato.

Cosa devi fare subito

Se hai un Galaxy, la priorità è confermare che il dispositivo sia aggiornato:

• Apri le Impostazioni.
• Vai su Informazioni sul telefono o Informazioni sul dispositivo.
• Cerca la voce Aggiornamento di sicurezza Android o simile.
• Controlla che la data sia 1 gennaio 2026 o successiva.

Se la data è precedente, il telefono è ancora vulnerabile e dovresti installare l’aggiornamento appena disponibile tramite le impostazioni di sistema. Inoltre, è sempre buona pratica:

• Evitare l’installazione di app da fonti non affidabili.
• Tenere aggiornate tutte le app e il sistema operativo.
• Utilizzare funzioni di sicurezza come il blocco schermo e l’autenticazione biometrica.

Questi passaggi riducono notevolmente la probabilità che un attaccante riesca a sfruttare vulnerabilità del kernel, anche se non tutte le falla possono essere prevenute dal singolo utente.

Impatto per la sicurezza dei dispositivi Samsung

La scoperta di una falla così vecchia in un componente critico di sicurezza mette in luce quanto sia complesso mantenere al sicuro un kernel modificato da un produttore. Samsung, come altri produttori, aggiunge funzioni proprietarie al kernel di Linux per offrire funzionalità e protezioni avanzate, ma ogni modifica introduce nuove complessità e nuovi potenziali errori.

In questo caso, la vulnerabilità è rimasta nascosta per anni perché il bug non si manifesta in modo ovvio durante l’uso normale del telefono. È stato necessario un’analisi approfondita del codice da parte di ricercatori di sicurezza per individuarla. Questo sottolinea l’importanza di audit di sicurezza continui, di test avanzati e di collaborazione tra produttori e comunità di ricerca.

Per gli utenti, la lezione è chiara: tenersi aggiornati è una delle difese più efficaci contro le minacce moderne. Anche se nessun sistema è perfetto, gli aggiornamenti di sicurezza correggono bug noti e riducono sensibilmente la superficie di attacco.

Perché aggiornare regolarmente è fondamentale

Molti utenti ignorano gli aggiornamenti di sicurezza perché non vedono un cambiamento immediato nell’esperienza d’uso. Tuttavia, questi aggiornamenti spesso risolvono vulnerabilità invisibili che, se sfruttate, possono compromettere i dati personali, i conti online e persino il controllo del dispositivo.

In questo caso, un aggiornamento di sicurezza di gennaio 2026 risolve una falla che esiste da anni, mostrando come anche bug molto vecchi possano essere scoperti e corretti. La regolarità degli aggiornamenti consente ai produttori di rispondere rapidamente quando nuove vulnerabilità emergono, riducendo il tempo in cui i dispositivi restano esposti.

Per i responsabili IT o gli amministratori di dispositivi aziendali, questa storia è un ulteriore motivo per impostare politiche chiare di aggiornamento e monitorare lo stato degli aggiornamenti di sicurezza su tutti i dispositivi in uso.

Consigli pratici per utenti Galaxy

Ecco alcuni passaggi concreti da seguire per proteggere i propri Galaxy:

• Verifica la data dell’aggiornamento di sicurezza almeno una volta al mese.
• Abilita gli aggiornamenti automatici se il dispositivo lo consente, per non perdere patch importanti.
• Evita i root e le personalizzazioni eccessive del sistema, che possono compromettere la sicurezza di KNOX e altre protezioni.
• Usa solo app da Google Play o da fonti ufficiali e controlla le autorizzazioni richieste.
• Attiva la verifica dell’app (Google Play Protect) per scansionare le app installate.

Seguendo queste buone pratiche, si riduce il rischio di essere colpiti da exploit che sfruttano vulnerabilità del kernel o di altri componenti di sistema.

Technical Deep Dive

La vulnerabilità identificata è un use-after-free nel componente PROCA di Samsung KNOX, più precisamente nel sottosistema FIVE (File-based Integrity Verification Engine). FIVE si basa sull’architettura di misurazione dell’integrità di Linux e viene utilizzato per tracciare lo stato di integrità dei processi sul dispositivo.

Ogni processo mantiene un oggetto task_integrity che contiene informazioni sul suo livello di fiducia. Il bug risiede nei gestori procfs sotto il percorso /proc/pid/integrity/, i quali accedono a un puntatore grezzo a questo oggetto senza mantenerne un riferimento valido. In un kernel completamente prelazionabile, questo può portare a riferimenti a memoria già liberata, aprendo la strada a diverse primitive di sfruttamento.

I ricercatori hanno identificato tre primitive distinte basate sulla condizione UAF:

• Memory Leak (DWORD Read): Il gestore proc_integrity_value_read() legge il campo user_value dell’oggetto task_integrity a partire dall’offset 0. Se la memoria viene riassegnata prima che il gestore completi l’operazione, il valore letto può provenire da un blocco diverso, producendo una fuga di dati che può essere utilizzata come oracolo per bypassare KASLR.
• Arbitrary Call (CFI-Blocked): Il gestore proc_integrity_reset_file() può finire per chiamare un puntatore a funzione d_dname() attraverso una struttura file già liberata. Gli sperimentatori hanno sviluppato una tecnica che sfrutta /system/bin/monkey per forzare il conteggio di riferimento a 1, abilitando la condizione UAF. Tuttavia, il meccanismo di Kernel Control Flow Integrity (KCFI) di Android limita le destinazioni di chiamata a funzioni compatibili, rendendo questa primitiva poco utile per un exploit completo.
• Constrained Write via Spinlock: Il gestore proc_integrity_label_read() acquisisce un spinlock_t sull’oggetto già liberato. Quando la memoria viene riassegnata, le operazioni atomiche del spinlock producono una scrittura vincolata all’offset 0x0c, che può sovrapporsi a puntatori, conteggi di riferimento o campi di lunghezza in oggetti di cache diversi.

Samsung ha corretto il problema aggiornando la gestione dei riferimenti e la logica di accesso all’oggetto task_integrity nei gestori procfs, garantendo che i puntatori siano sempre validi durante l’accesso. La patch è stata rilasciata nell’aggiornamento di sicurezza Android di gennaio 2026, rendendo il bug non sfruttabile su dispositivi aggiornati.

Questa falla mette in evidenza la complessità delle modifiche al kernel di Linux e la necessità di analisi approfondite delle semantiche di vita degli oggetti. La sua presenza per circa otto anni dimostra come vulnerabilità critiche possano rimanere nascoste in componenti di sicurezza, sottolineando l’importanza di audit continui, test di sicurezza avanzati e collaborazione tra produttori e ricercatori.

Fonte: https://cybersecuritynews.com/8-year-old-samsung-knox-vulnerability/