Qualcomm, quei chip danno vulnerabilità su ampia scala

Alcuni chip Qualcomm hanno una vulnerabilità di sicurezza molto grave. Alcuni ricercatori di Check Point Research, l’azienda israeliana produttrice di dispositivi di rete e software, specializzata in prodotti relativi alla sicurezza quali firewall e VPN, dislocata in Bielorussia e anche negli States.

CPR ha rilevato una vulnerabilità di sicurezza nel modem per stazione mobile (MSM) di Qualcomm, il chip responsabile della comunicazione cellulare in quasi il 40% degli smartphone del mondo.

Qualcomm, la scoperta di Check Point Research

Se sfruttata, la vulnerabilità consentirebbe a un utente malintenzionato, o più facilmente a un cyber-criminale di utilizzare il sistema operativo Android stesso come punto di ingresso per iniettare codici dannosi e invisibile negli smartphone telefoni, garantendosi l’accesso agli SMS e, soprattutto, all’audio delle conversazioni telefoniche.

LEGGI ANCHE >>> Xiaomi, che numeri: il brand cinese mette la freccia su Apple

La vulnerabilità scoperta dai ricercatori di Check Point Research riguarda principalmente dispositivi di fascia alta realizzati da Google, Samsung, LG, Xiaomi e OnePlus. I produttori di smartphone possono personalizzare i chip in modo da svolgere operazioni aggiuntive, come gestire le richieste di sblocco della SIM. I chip funzionano nel 31% degli smartphone del mondo, secondo i dati di Counterpoint Research.

LEGGI ANCHE >>> Insetti commestibili, l’Europa sta per inserirli nella farina

Un bel problema. Non di poco conto, che si somma a quanto già rivelato nell’agosto 2020 da Check Point Research: oltre 400 vulnerabilità sul chip Snapdragon DSP (Digital Signal Processor) di Qualcomm, che minacciavano l’utilizzo stesso degli smartphone.

La vulnerabilità, conosciuta come CVE-2020-11292 si baserebbe su un problema di heap overflow e potrebbe tranquillamente essere sfruttata da un’applicazione malevola installata sugli smartphone affetti dal problema, la quale sarebbe in grado di infettare l’MSM con un codice malevolo impossibile da identificare.

“Un hacker – sottolineano i ricercatori – può anche sfruttare la vulnerabilità per sbloccare la SIM del dispositivo, superando così i limiti imposti dai fornitori di servizi su di essa”.

Il portavoce di Check Point Ekram Ahmed ha rivelato ad Ars Technica che Qualcomm ha rilasciato una patch, rivelando il bug a tutti i clienti che utilizzano questi chip mal funzionanti. A causa delle complessità coinvolte, però, non è ancora chiaro quali dispositivi Android vulnerabili siano corretti e quali no.

“In base alla nostra esperienza, l’implementazione di queste correzioni richiede tempo, quindi alcuni smarthphone potrebbero ancora essere soggetti a minacce – continua Ekram Ahmed – di conseguenza, abbiamo deciso di non condividere tutti i dettagli tecnici, in quanto avrebbe fornito agli hacker una tabella di marcia su come sfruttare al meglio questo bug“.

Un portavoce di Qualcomm ha affermato che la vulnerabilità sarà inclusa nel bollettino pubblico di Android, a giugno. Nel frattempo è consigliabile agli utenti di contattare i produttori di smartphone per scoprire lo stato delle correzioni per il proprio dispositivo.