Author: Lorenzo Spada Android Blog Italia
LineageOS, la popolare e quasi onnipresente ROM Android ormai giunta alla versione 17.1 base su Android 10, ha subito una violazione della sicurezza, in quanto un gruppo di hacker ha ottenuto l’accesso ad alcune infrastrutture del progetto lo scorso fine settimana. Tuttavia, l’impatto finale sugli utenti sarà basso, poiché le chiavi di firma, le build e il codice sorgente non sono stati interessati.
In altre parole, le ROM già presenti sugli smartphone di coloro che le hanno flashate dovrebbero essere sicure, così come i prossimi aggiornamenti. Lo sviluppo delle build tuttavia sono state sospese a causa di un problema preesistente, in base alla dashboard dello stato del progetto, con i singoli servizi che stanno venendo ripristinati uno alla volta.
Around 8PM PST on May 2nd, 2020 an attacker used a CVE in our saltstack master to gain access to our infrastructure.
We are able to verify that:
– Signing keys are unaffected.
– Builds are unaffected.
– Source code is unaffected.See https://t.co/85fvp6Gj2h for more info.
— LineageOS (@LineageAndroid) May 3, 2020
Il team di LineageOS ha rivelato l’attacco hacker con una dichiarazione su Twitter poche ore dopo la scoperta dello stesso. Una spiegazione più dettagliata è stata anche pubblicata nella dashboard del progetto, indicando le parti interessate e la vulnerabilità precisa che è stata sfruttata, che è stata scoperta solo di recente.
In breve, le build esistenti non dovrebbero essere interessate poiché erano già in pausa per un problema non correlato e le chiavi di firma non erano interessate: ciò significa che non dovete preoccuparvi di qualcuno che distribuisca aggiornamenti modificati attraverso forum di terze parti mascherati da build ufficiali.
La redazione di ZDNet riferisce che LineageOS non è l’unico progetto ad essere stato colpito da questo exploit, con molti altri attacchi segnalati nel fine settimana. LineageOS ha ripristinato i suoi servizi in modo incrementale negli ultimi due giorni e i download sono tornati attivi.