I ricercatori Check Point hanno scoperto oltre 400 vulnerabilità nei chip Qualcomm integrati in oltre il 40% dei telefoni del mondo, compresi gli smartphone di fascia alta di Google, LG, Samsung, Xiaomi, OnePlus e altri. Facendo leva sulle vulnerabilità, i criminali informatici potrebbero eventualmente riuscire a controllare un dispositivo mobile Android per spiare le attività degli utenti, renderlo inaccessibile e nascondere operazioni malevole.
Come spiegano i tecnici di Check Point in quest’analisi, i problemi di sicurezza sarebbero insiti nel chip DSP (Digital Signal Processor) di Qualcomm, presente in quasi tutti gli smartphone Android.
Il DSP è un processore dedicato e ottimizzato per eseguire in maniera efficiente sequenze di istruzioni ricorrenti nell’elaborazione di segnali digitali. I DSP sono progettati per eseguire le operazioni matematiche riducendo al minimo consumo di energia. Una tecnologia che si trova oggi all’interno di auricolari, smartphone, altoparlanti intelligenti, attrezzatura audio da studio di registrazione, sistemi di infotainment per i veicoli e altro ancora.
Il DSP che equipaggia lo smartphone, ad esempio, può essere usato per la decodificare dei flussi audio MP3, per potenziare i bassi durante l’ascolto dei brani musicali, per eseguire le operazioni matematiche per la cancellazione attiva del rumore, per riconoscere la voce dell’utente quando pronuncia OK, Google e molto altro ancora.
Secondo Check Point i problemi di sicurezza del DSP confermano che chip come quello progettato e realizzato da Qualcomm stanno divenendo nuovi vettori di attacco. Essi vengono infatti gestiti come black box, scatole nere che rendono complessa per qualunque soggetto diverso dal produttore la revisione del design, delle funzionalità e del codice.
Dopo la scoperta dei problemi di sicurezza sul DSP, Check Point ha contattato privatamente Qualcomm segnalando le lacune in modo responsabile.
Qualcomm, da parte sua, dopo aver analizzato le informazioni ricevute, ha rilasciato una serie di patch correttive per i problemi con i seguenti identificativi: CVE-2020-11201, CVE-2020-11202, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 e CVE-2020-11209.
Il fatto è che sebbene Qualcomm abbia sviluppato le patch risolutive, tutti i principali produttori di dispositivi Android devono ancora implementare le correzioni tanto che le minacce individuate da Check Point restano attuali e potenzialmente sfruttabili da parte dei criminali informatici.
I portavoce di Qualcomm hanno fatto presente quanto segue: “fornire tecnologie che siano costruite su fondamenta solide in termini di sicurezza e privacy è una priorità per Qualcomm. Per quanto riguarda la vulnerabilità nel DSP rivelate da Check Point, abbiamo lavorato diligentemente per convalidare il problema e mettere a disposizione degli OEM le opportune patch correttive. Non ci sono indicazioni circa la possibilità che i problemi di sicurezza siano attualmente sfruttati per attaccare gli utenti. Incoraggiamo gli utenti finali ad aggiornare i loro dispositivi man mano che le patch diventeranno disponibili e a installare applicazioni solo da sorgenti affidabili come il Google Play Store“.