Qualcomm, vulnerabilità nei chip mobile: a rischio il 40% degli smartphone in circolazione

Qualcomm, vulnerabilità nei chip mobile: a rischio il 40% degli smartphone in circolazione

La vulnerabilità, nota come CVE-2020-11292, è stata corretta a dicembre da Qualcomm con un aggiornamento ufficiale diffuso ai produttori. Ma quanti saranno a implementarla sui dispositivi in circolazione?

di pubblicata il , alle 15:01 nel canale Telefonia
Qualcomm
 

I ricercatori di Check Point hanno scoperto una vulnerabilità di criticità alta nei chip mobile Mobile Station Modem (MSM) di Qualcomm che, se sfruttata, potrebbe consentire ad eventuali aggressori di accedere ai messaggi di testo degli utenti di telefoni cellulari, alla cronologia delle chiamate e ad ascoltare le loro conversazioni. Il bug è presente anche sugli MSM con supporto al 5G di ultima generazione del produttore americano e - secondo le fonti - riguarda il 40% degli smartphone messi sul mercato dai produttori più disparati.

"Se sfruttata, la vulnerabilità potrebbe consentire a un utente malintenzionato di utilizzare il sistema operativo Android stesso come punto di ingresso per iniettare codice dannoso e invisibile nei telefoni", ha dichiarato Check Point relativamente al bug, contrassegnato come CVE-2020-11292. La falla di sicurezza potrebbe inoltre consentire agli aggressori di sbloccare funzionalità della SIM installata sul telefono compromesso, e aggirare le eventuali limitazioni previste dagli operatori che hanno fornito la scheda all'utente.

Il controllo del modem può essere ottenuto attraverso l'exploit di un bug heap overflow presente nella Qualcomm MSM Interface (QMI) utilizzata nelle piattaforme mobile per far dialogare l'hardware con il software dei dispositivi. Un'app scritta ad-hoc potrebbe sfruttare la falla per nascondere qualsiasi attività sotto la copertura del modem, rendendosi invisibile a qualsiasi sistema di sicurezza adottato su Android per il rilevamento di attività dannose. Check Point ha dichiarato di aver divulgato la falla al pubblico per consentire alla community dei ricercatori di sicurezza di aiutare Qualcomm e gli altri produttori a migliorare la sicurezza nei chip modem mobile.

A ottobre l'exploit è stato condiviso con Qualcomm, che ha confermato la sua esistenza e lo ha contrassegnato come vulnerabilità ad alta gravità, informando tutti i produttori di dispositivi interessati. A dicembre Qualcomm ha poi rilasciato ai produttori partner un aggiornamento di sicurezza, sollecitando il rilascio di un aggiornamento su tutti i dispositivi supportati.

Falla CVE-2020-11292, come proteggersi

I possessori di smartphone recenti che ancora ricevono aggiornamenti di sicurezza dovrebbero essere al sicuro dalla vulnerabilità semplicemente installando gli ultimi aggiornamenti di sicurezza, tuttavia coloro che possiedono dispositivi non più aggiornati non hanno alcuna protezione dal bug CVE-2020-11292. Il consiglio, per loro, è non installare alcuna app sospetta, o in generale installare app solo via Google Play Store o altri store di app ufficiali. Ad oggi, quasi il 20% dei dispositivi Android utilizza ancora Android 9.0 Pie, mentre circa il 9% fa affidamento ad Android 8.1 Oreo che è stato rilasciato nella seconda metà del 2017. Questi dispositivi potrebbero non ricevere mai un aggiornamento per la vulnerabilità appena descritta da Check Point.

Per i dispositivi ancora supportati, invece, Qualcomm intende porre l'accento sul suo impegno nel fornire hardware e interfacce software sicure per l'utente finale. Lo scorso anno l'azienda ha risolto diverse falle scoperte sul Digital Signal Processor (DSP) proprietario, insieme a KrØØk, falla di sicurezza che si manifestava con le reti protette via WPA2. Tutti i dettagli tecnici su CVE-2020-11292 sono disponibili nel rapporto ufficiale di Check Point.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
popye07 Maggio 2021, 22:40 #1
Ripensando alla vicenda "scoperchiata" da edward snowden qualche anno fa mi viene da ripensare che non sia un bug casuale ma voluto.....
A pensar male si fa peccato ma spesso ci si azzecca.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^