Quadrooter, le falle dei chip Qualcomm mettono a rischio 900 milioni di cellulari Android

Quadrooter, le falle dei chip Qualcomm mettono a rischio 900 milioni di cellulari Android

Le patch per tre delle falle sono già disponibili, e prossimamente sarà distribuita anche la quarta patch. Gli utenti devono però attendere che il produttore del telefono in loro possesso decida di distribuirle

di Andrea Bai pubblicata il , alle 11:27 nel canale Sicurezza
QualcommAndroid
 

900 milioni di utenti Android sono a rischio sicurezza a causa di quattro falle individuate nel firmware dei chip Qualcomm che equipaggiano la maggior parte dei dispositivi Android di più recente generazione.

E' la società israeliana Checkpoint a dare l'allarme: le falle, chiamate "Quadrooter" potrebbero infatti consentire agli attaccanti di innescare una situazione di privilege escalation allo scopo di ottenere l'accesso root ad un dispositivo, utilizzando malware che non richiederebbe alcun permesso speciale e che passerebbe così inosservato anche agli occhi degli utenti più scrupolosi. Si tratta quindi di vulnerabilità che opportunamente sfruttate possono consentire l'accesso indiscriminato a dati sensibili personali e professionali presenti sui dispositivi.

Per tre delle quattro falle sono già disponibili le patch correttive, mentre per la quarta si sta lavorando ad una soluzione che sarà probabilmente disponibile a breve. Il problema, come spesso accade in situazioni come questa, è che gli utenti sono lasciati alle volontà del produttore del cellulare di cui sono in possesso dal momento che la distribuzione delle patch di sicurezza spetta a ciascuno di essi. Gli utenti dei dispositivi Nexus hanno già ricevuto le patch correttive, ma altri produttori si sono più volte mostrati meno reattivi nella diffusione degli aggiornamenti di sicurezza.

Qualcomm realizza chip per la stragrande maggioranza degli smartphone in circolazione e vanta un market share del 65%. Checkpoint indica i seguenti dispositivi come interessati dal problema:

-BlackBerry Priv
-Blackphone 1 e Blackphone 2
-Google Nexus 5X, Nexus 6 e Nexus 6P
-HTC One, HTC M9 e HTC 10
-LG G4, LG G5 e LG V10
-New Moto X by Motorola
-OnePlus One, OnePlus 2 e OnePlus 3
-Samsung Galaxy S7 e Samsung S7 Edge
-Sony Xperia Z Ultra

Attualmente Qualcomm non ha ancora preso una posizione ufficiale sul problema. Maggiori dettagli tecnici su Quadrooter sono disponibili in questo PDF ufficiale.

Aggiornamento delle ore 11:45:

Abbiamo ricevuto la dichiarazione ufficiale di Qualcomm, che ritrasmettiamo: “Offrire tecnologie che supportino i migliori livelli di sicurezza e privacy è una priorità per Qualcomm Technologies, Inc. Queste vulnerabilità ci sono state segnalate dai ricercatori tra febbraio e aprile di quest’anno e tra aprile e luglio abbiamo reso disponibili le patch per tutte le vulnerabilità a clienti, partner e alla community open source, oltre a pubblicarle su CodeAurora. Qualcomm Technologies, Inc. continua a lavorare proattivamente sia internamente che con il supporto di ricercatori per identificare e indirizzare potenziali vulnerabilità della sicurezza.”

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

56 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Il Picchio09 Agosto 2016, 11:30 #1
Per i telefoni più vecchi di 2 anni aspetteremo le patch con il nuovo terminale che compreremo. Come per tutto, come al solito.
Alessio.1639009 Agosto 2016, 11:41 #2
Guardo quella lista di telefonini,
si parte da
Snapdragon 800 (Z Ultra)
passando a 801 (OPO 1)
805 (Nexus 6)
808 (G4)
810 (OPO 2)
820 (OPO 3)

E poi c'è l'HTC One che monta APQ8064T (Snapdragon 600)

La fascia bassa no? Tipo i 400.. ?
Mi pare assurdo.
Axios200609 Agosto 2016, 11:42 #3
Samsung non vedrà più un cent da me.

Dopo 3 smartphone ed 1 tablet tutti mai aggiornati tranne minor version, basta.

Nexus e Pixel C in futuro.
evil weasel09 Agosto 2016, 11:53 #4
Le vulnerabilità sono già state patchate con il security bulletin del 5 agosto, I nexus e chi usa Cyanogenmod è già al sicuro.
Oltre tutto poi mi sembra la solita notizia iper allarmistica, non è un remote exploit come nel caso di stagefright, qui l'utente per essere infettato deve volontariamente installare una app malevola.

Molto interessante anche il fatto che per controllare se si è vulnerabili sia necessario installare una app closed source che non si ha la minima idea di cosa faccia.
pabloski09 Agosto 2016, 12:22 #5
Originariamente inviato da: Axios2006
Samsung non vedrà più un cent da me.

Dopo 3 smartphone ed 1 tablet tutti mai aggiornati tranne minor version, basta.

Nexus e Pixel C in futuro.


Xiaomi se non disdegni i prodotti cinesi

Le nuove major release arrivano dopo mesi, ma riguardo i fix non c'e' storia rispetto agli OEM fancazzisti Samsung-style.
nickmot09 Agosto 2016, 12:23 #6
Originariamente inviato da: Il Picchio
Per i telefoni più vecchi di 2 anni aspetteremo le patch con il nuovo terminale che compreremo. Come per tutto, come al solito.


Già... Il problema è che con questo comportamento NON mi stanno spingendo a comprare un nuovo terminale, anzi.

Originariamente inviato da: Axios2006
Samsung non vedrà più un cent da me.

Dopo 3 smartphone ed 1 tablet tutti mai aggiornati tranne minor version, basta.

Nexus e Pixel C in futuro.


Purtroppo Samsung è in (cattiva) compagnia di praticamente qualunque produttore Android.
Anche il supporto dei Nexus al momento è insufficiente rispetto alla vita utile del terminale.

Originariamente inviato da: evil weasel
Le vulnerabilità sono già state patchate con il security bulletin del 5 agosto, I nexus e chi usa Cyanogenmod è già al sicuro.
Oltre tutto poi mi sembra la solita notizia iper allarmistica, non è un remote exploit come nel caso di stagefright, qui l'utente per essere infettato deve volontariamente installare una app malevola.

Molto interessante anche il fatto che per controllare se si è vulnerabili sia necessario installare una app closed source che non si ha la minima idea di cosa faccia.


Ok, questa vulnerabilità è più complicata da sfruttare, ma far installare un'app malevola non è così impossibile, anche in virtù del fatto che non è impossibile farle arrivare sullo store.

I possessori di Nexus e gli utilizzatori di cyanogen sono comunque una ristretta minoranza rispetto ai potenziali utenti con questa vulnerabilità nei loro terminali.
Se guardo la lista dei SoC coinvolti mi sento male:

Snap 600----> Tutti i Galaxy S4 in circolazione
Snap 800----> Tutta la gamma Xperia da Z a Z2, LG G2 e chissà quanti altri
Snap 801/805----> Gamma Xperia Z3, Galaxy S5, LG G3, etc.

Devo continuare?
In linea generale non sono per fare allarmismo, ma visto la scarsissima attenzione dei produttori al tema sicurezza ed aggiornamenti sono daccordo nel diffondere quanto più possibile queste notizie e metterli il più possibile in cattiva luce.
WarDuck09 Agosto 2016, 12:32 #7
Confermo che anche il Moto G 1st gen è affetto dalle 4 vulnerabilità.

Android 5.1 con Livello patch sicurezza Android 2016-03-01.

Ora ho sbloccato il bootloader mi sa che non riceverò gli aggiornamenti OTA.

Comunque che voi sappiate, esiste un brand telefonico che mette a disposizione drivers open?

I Nexus come stanno messi da questo punto di vista? E Asus con lo Zenfone?
nickmot09 Agosto 2016, 12:34 #8
Originariamente inviato da: WarDuck
Confermo che anche il Moto G 1st gen è affetto dalle 4 vulnerabilità.

Android 5.1 con Livello patch sicurezza Android 2016-03-01.

Ora ho sbloccato il bootloader mi sa che non riceverò gli aggiornamenti OTA.

Comunque che voi sappiate, esiste un brand telefonico che mette a disposizione drivers open?

I Nexus come stanno messi da questo punto di vista? E Asus con lo Zenfone?


Che io sappia Qualcomm ha i driver open per i sui snapdragon, quindi ogni telefono che usi i suoi SoC ha ha disposizion tali driver.
Per gli Zenfone non so come si comporti Intel.
LazyAfternoons09 Agosto 2016, 12:37 #9
Originariamente inviato da: evil weasel
Le vulnerabilità sono già state patchate con il security bulletin del 5 agosto, I nexus e chi usa Cyanogenmod è già al sicuro.
Oltre tutto poi mi sembra la solita notizia iper allarmistica, non è un remote exploit come nel caso di stagefright, qui l'utente per essere infettato deve volontariamente installare una app malevola.

Molto interessante anche il fatto che per controllare se si è vulnerabili sia necessario installare una app closed source che non si ha la minima idea di cosa faccia.

Quoto tutto. Oltre al fatto che l'app stessa mi sembra un bait per fare pubblicità al loro "Antivirus" per Android.
Il Picchio09 Agosto 2016, 12:39 #10
Si non è che siccome è un problema relativamente meno grave allora va bene che non ci danno il supporto magari dopo 400-600 euro pagati 2 anni fa.
Io di sta storia mi sono rotto, non sono io che devo lavorare a cercarmi la rom buona e aggiornata perche gli oem non danno supporto.

Mai più android. Mi dispiace per la poca scelta al di fuori di questo os ma per me se spendo 400-600 euro supporto fino a fine vita utile la devo avere, a costo di pagarne 100 in più

Per stagefright quanti hanno ricevuto la patch? Io no e so che molti altri non hanno visto niente. Va bene cosi ancora?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^