Skip to main content

Qualcomm, una falla di sicurezza potrebbe aver colpito anche il vostro smartphone

Sicurezza smartphone
(Image credit: Shutterstock)

I chip Qualcomm MSM presentavano una falla di sicurezza, ormai corretta tramite patch, che avrebbe consentito agli hacker di accedere agli SMS e alle conversazioni telefoniche di circa un terzo degli smartphone Android nel mondo.

Qualcomm (opens in new tab) è uno dei più grandi produttori di chip al mondo e, attualmente, è presente in oltre il 40% degli smartphone sul mercato, inclusi i dispositivi di fascia alta di Google, Samsung, LG, Xiaomi e OnePlus.

La vulnerabilità, tracciata in CVE-2020-11292, è stata scoperta dai ricercatori di sicurezza di Check Point Research (opens in new tab) tramite un processo noto come fuzzing (opens in new tab) per i test degli MSM di Qualcomm in cerca di difetti nel firmware. 

Il produttore di chip ha anche creato un protocollo proprietario chiamato Qualcomm MSM Interface (QMI) che consente ai propri chip MSM di comunicare con altri sottosistemi periferici sui dispositivi Android, come fotocamere e scanner di impronte. Secondo l'agenzia di ricerca Counterpoint, specializzata sul mercato tecnologico, il protocollo QMI si trova su circa il 30% di tutti i dispositivi mobili nel mondo, sebbene sia poco noto come possibile vettore d'attacco.

Vulnerabilità MSM

Durante l'analisi, Check Point ha riscontrato una vulnerabilità nei chip MSM di Qualcomm, potenzialmente utilizzabile per controllare il modem di uno smartphone e installare patch in modo dinamico tramite il processore applicativo.

Di conseguenza, gli hacker avrebbero potuto sfruttare la vulnerabilità in questione per installare codice dannoso nel modem del dispositivo da Android, ottenendo il pieno accesso agli SMS e alla cronologia delle chiamate dell'utente, nonché la possibilità di ascoltare le conversazioni telefoniche. Inoltre, la vulnerabilità avrebbe consentito di sbloccare la SIM sul dispositivo attaccato.

Check Point ha subito comunicato la scoperta a Qualcomm che a sua volta ha sviluppato una patch per risolvere il problema, notificando la situazione anche ai fornitori di smartphone pertinenti. Gli utenti devono applicare tutti gli ultimi aggiornamenti dei produttori per proteggere il proprio smartphone da possibili exploit.

Tuttavia, per una protezione efficace da tali vulnerabilità, Check Point consiglia anche di aggiornare i sistemi operativi alle versioni più recenti, installare solo le app provenienti da store ufficiali come Google Play Store (opens in new tab) e utilizzare un antivirus (opens in new tab) mobile per una maggiore sicurezza. In ogni caso, le organizzazioni dovrebbero anche attivare le funzionalità di "cancellazione remota" per tutti i dispositivi affidati ai dipendenti per motivi di lavoro, al fine di ridurre al minimo la possibilità di perdere dati sensibili.

Fonte: Ars Technica (opens in new tab)

After working with the TechRadar Pro team for the last several years, Anthony is now the security and networking editor at Tom’s Guide where he covers everything from data breaches and ransomware gangs to the best way to cover your whole home or business with Wi-Fi. When not writing, you can find him tinkering with PCs and game consoles, managing cables and upgrading his smart home.