Una vulnerabilità di sicurezza molto grave è stata scoperta in alcuni chip Qualcomm. Essa permetterebbe ai potenziali aggressori di avere accesso ad importanti informazioni personali degli utenti e ascoltare le loro conversazioni, il tutto in modo praticamente impossibile da rilevare. La percentuale di smartphone vulnerabili è pericolosamente alta!

La vulnerabilità è stata scoperta dagli esperti di sicurezza di Check Point Research e affliggerebbe tutti gli smartphone che utilizzano il sistema di comunicazione Qualcomm Mobile Station Modem. Il cosiddetto System on a Chip (SoC) permette agli smartphone di gestire le chiamate, gli SMS, la registrazione dell’audio ad alta qualità e, più in generale, è il cuore pulsante di alcuni degli smartphone di fascia alta prodotti da Google, Xiaomi, Oppo, Samsung, OnePlus, LG e molti altri ancora.

Secondo le statistiche di Counterpoint Research, inserite nel report dell’azienda che ha scoperto questa vulnerabilità, il 31% degli smartphone al mondo utilizza i chip di Qualcomm.

La vulnerabilità conosciuta come CVE-2020-11292 si baserebbe su un problema di heap overflow e potrebbe tranquillamente essere sfruttata da un’app malevola installata sugli smartphone affetti dal problema, la quale sarebbe in grado di infettare l’MSM con del codice malevolo. Il codice, praticamente impossibile da identificare, potrebbe quindi essere in grado di attingere ad alcune delle funzioni più importanti degli smartphone.

“Ciò significa che un aggressore avrebbe potuto utilizzare questa vulnerabilità per iniettare codice dannoso nel modem partendo da Android, guadagnando accesso alla cronologia delle chiamate e agli SMS dell’utente del dispositivo, così come alla possibilità di ascoltare le conversazioni dell’utente del dispositivo” scrivono i ricercatori. “Un hacker può anche sfruttare la vulnerabilità per sbloccare la SIM del dispositivo, superando così le limitazioni imposte dai fornitori di servizi su di essa“.

Il rappresentante di Check Point Ekram Ahmed ha comunicato ai colleghi di Ars Technica che Qualcomm ha già inviato una patch a tutti i suoi clienti che utilizzano tali chip. Come ogni volta in cui parliamo di vulnerabilità di sicurezza o bug degli smartphone Android però, resta da vedere effettivamente quali smartphone verranno aggiornati di conseguenza e soprattutto quando.

“Secondo la nostra esperienza, l’implementazione di queste correzioni richiede tempo, quindi alcuni dei telefoni potrebbero essere ancora soggetti alla minaccia” ha scritto Ekram Ahmed in una mail. “Di conseguenza, abbiamo deciso di non condividere tutti i dettagli tecnici, in quanto darebbe agli hacker una guida su come orchestrare un attacco“.

Un portavoce di Qualcomm, in merito alla situazione descritta nell’articolo originale che potete leggere qui sotto, ha dichiarato: “Fornire tecnologie che supportano una solida sicurezza e privacy è una priorità per Qualcomm. Ci congratuliamo con i ricercatori di sicurezza di Check Point per aver utilizzato prassi informative standard del settore. Qualcomm Technologies ha già reso disponibili agli OEM le correzioni nel dicembre 2020, e incoraggiamo gli utenti finali ad aggiornare i loro dispositivi quando le patch diventano disponibili“.