Milioni di telefoni Android a rischio a causa di una vulnerabilità nei chip Qualcomm

I ricercatori di Check Point, una società di cybersecurity, hanno scoperto vulnerabilità nel chip Qualcomm Snapdragon Digital Signal Processor (DSP) che possono consentire agli attaccanti di ottenere foto, video, registrazioni di chiamate, informazioni sulla posizione e altri dati dai telefoni Android.

I DSP sono un sistema su un chip che contiene hardware e software progettati per supportare le capacità di ricarica (come le funzionalità di “ricarica rapida”), esperienze multimediali come video e cattura in HD, abilità avanzate di AR e varie funzionalità audio. Quasi tutti gli smartphone moderni includono almeno uno di questi chip.

Inoltre, il chip Snapdragon di Qualcomm è uno dei chip più comunemente utilizzati negli smartphone Android, come Google, Samsung, LG, Xiaomi, OnePlus e altri produttori di dispositivi, che rappresenta quasi il 40% dell’intero mercato degli smartphone.

Nel suo rapporto “Achilles: Small chip, big peril”, Check Point ha sottolineato che sono stati trovati più di 400 pezzi di codice vulnerabile all’interno del chip DSP. Queste vulnerabilità potrebbero avere il seguente impatto sugli utenti di telefoni con il chip interessato:

• Gli attaccanti possono trasformare il telefono in un perfetto strumento di spionaggio, senza alcuna interazione da parte dell’utente richiesta – Le informazioni che possono essere estratte dal telefono includono foto, video, registrazioni di chiamate, dati del microfono in tempo reale, dati GPS e di posizione, ecc.

• Gli attaccanti potrebbero essere in grado di rendere il telefono mobile costantemente non responsivo – Rendendo tutte le informazioni memorizzate su questo telefono permanentemente non disponibili – comprese foto, video, dettagli di contatto, ecc. – in altre parole, un attacco mirato di denial-of-service.

• Malware e altro codice malevolo possono nascondere completamente le loro attività e diventare non rimovibili.

Nonostante i rischi sopra menzionati posti da queste vulnerabilità, Check Point non ha trovato alcun exploit nel mondo reale.

“Non siamo stati in grado di identificare alcun utilizzo di questi exploit nel mondo reale,” ha dichiarato Ekram Ahmed, responsabile delle pubbliche relazioni di Check Point, a TechRepublic. “Questo ovviamente non significa che non siano stati utilizzati, ma che non li abbiamo individuati nella nostra telemetria.”

Dopo la scoperta delle vulnerabilità, Check Point ha divulgato le sue scoperte a Qualcomm, che le ha riconosciute e ha notificato i relativi fornitori di dispositivi.

Qualcomm ha risposto alle vulnerabilità correggendole e assegnando loro i seguenti CVE: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 e CVE-2020-11209.

“Per quanto riguarda la vulnerabilità del Qualcomm Compute DSP divulgata da Check Point, abbiamo lavorato diligentemente per convalidare il problema e rendere disponibili le mitigazioni appropriate agli OEM. Non abbiamo prove che sia attualmente sfruttata. Incoraggiamo gli utenti finali ad aggiornare i propri dispositivi non appena le patch diventano disponibili e a installare solo applicazioni da fonti fidate come il Google Play Store,” ha dichiarato un portavoce di Qualcomm in una dichiarazione.

“Sebbene Qualcomm abbia risolto il problema, purtroppo non è la fine della storia. Centinaia di milioni di telefoni sono esposti a questo rischio di sicurezza. Puoi essere spiato. Puoi perdere tutti i tuoi dati. La nostra ricerca mostra il complesso ecosistema nel mondo mobile. Con una lunga catena di approvvigionamento integrata in ogni telefono, non è banale trovare problemi profondamente nascosti nei telefoni cellulari, ma non è nemmeno banale risolverli,” ha dichiarato Yaniv Balmas, responsabile della ricerca informatica di Check Point, in un comunicato stampa.

Mentre la correzione delle vulnerabilità da parte di Qualcomm è solo il primo passo, ora spetta ai fornitori mobili implementare le patch necessarie. Fino ad allora, Check Point Research ha deciso di non pubblicare i dettagli tecnici completi fino a quando i fornitori mobili non avranno una soluzione completa per mitigare i possibili rischi descritti.

“Supponiamo che ci vorranno mesi o addirittura anni per mitigare completamente il problema. Se tali vulnerabilità verranno trovate e utilizzate da attori malevoli, troveranno milioni di utenti di telefoni cellulari con quasi nessun modo per proteggersi per molto tempo. Ora spetta ai fornitori, come Google, Samsung e Xiaomi, integrare queste patch in tutte le loro linee di telefoni, sia in fase di produzione che sul mercato,” ha affermato Balmas.