Qualcomm Snapdragon: trovate vulnerabilità, "Achilles" mette a rischio molti smartphone
La nota società Check Point ha individuato ben 400 vulnerabilità nel codice del DSP di Qualcomm Snapdragon che, se non risolte, espongono a rischi potenzialmente molto pericolosi. Ecco il punto della situazione, per ora.
di Alessandro Bordin pubblicata il 10 Agosto 2020, alle 10:01 nel canale SicurezzaQualcommSnapdragon
Check Point, nota società attiva nel campo della sicurezza, ha individuato una vulnerabilità diffusa nel codice che governa Qualcomm Snapdragon in alcune sue componenti (circa 400 parti di codice). L'insieme di queste vulnerabilità è stata chiamata "Achilles", con un chiaro rimando all'eroe leggendario e al suo noto punto debole.
Attualmente, circa 40% degli smartphone a livello mondiale adottano un SoC Snapdragon di qualche tipo, e considerando che i terminali che affollano attivamente il mondo sono oltre 3 miliardi, si fa presto a capire la potenziale portata del problema. Cerchiamo di capire anzitutto di cosa si tratta, e poi perché abbiamo scritto "potenziale", essendo Hardware Upgrade cauta e non facile preda di facili catastrofismi.
Le vulnerabilità sono racchiuse in 6 macrocategorie CVE: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 e CVE-2020-11209. Cercando di tradurre in italiano corrente a quali rischi si vada incontro una volta esposti a queste vulnerabilità, ecco di seguito la spiegazione:
- possibilità di prendere il controllo del telefono per quanto riguarda sottrazione di foto, video, registrazioni, oltre ad utilizzare in tempo reale il microfono integrato e dati GPS
- possibilità di bloccare il telefono da remoto in qualsiasi momento
- possibilità di installare software malevolo a bassissimo livello
Come per molte vulnerabilità, a cui nessun produttore è immune, viene descritto il peggior scenario possibile, in cui un malintenzionato sia in grado di sfruttarle tutte contemporaneamente. In realtà Qualcomm è stata avvisata in anticipo e ha già rilasciato un fix per risolvere tutto. Il problema sta nei singoli produttori dei dispositivi, perché sta a loro rilasciare la patch fornita da Qualcomm e non tutti stanno dando priorità alla cosa. Facile però che con la diffusione della notizia il processo subisca una drastica accelerata, motivo per cui è lecito attendersi aggiornamenti straordinari già nelle prossime ore, almeno sui terminali in cui il fix non è ancora stato installato.
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info"l prerequisito per sfruttare le vulnerabilità è che l'obiettivo dovrebbe essere indotto a scaricare ed eseguire un eseguibile fatto ad hoc."
"l prerequisito per sfruttare le vulnerabilità è che l'obiettivo dovrebbe essere indotto a scaricare ed eseguire un eseguibile fatto ad hoc."
Come molte altre vulnerabilità
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".