Nel corso dell’ultima edizione della Def Con Hacking Conference, i tecnici di Check Point hanno presentato nel dettaglio alcune vulnerabilità presenti in oltre 900 milioni di dispositivi a cuore Android.
Le falle di sicurezza che, nel loro complesso, sono state battezzate QuadRooter (vedere l’analisi di Check Point) sono insite nei SoC Qualcomm e, potenzialmente, consentono ad un aggressore di assumere pieno controllo del tablet o dello smartphone altrui.
Indipendentemente dal fatto che il device sia stato o meno sottoposto a procedura di rooting, le vulnerabilità in questione consentono ad un’app di accedere a tutti i dati memorizzati sul dispositivo e utilizzare, senza alcuna limitazione, hardware come fotocamera e microfono.
L’applicazione malevola non deve richiedere alcun particolare permesso ad Android; facendo leva sulle vulnerabilità può di fatto acquisire i diritti di root sul dispositivo mobile e svolgere qualunque tipo di operazione.
Dispositivi come i Google Nexus 5X, Nexus 6, Nexus 6P; HTC One M9 e HTC 10; Samsung Galaxy S7 e S7 Edge sono alcuni tra quelli affetti dal problema. In generale, tutti i device che montano un SoC Qualcomm sono esposti.
Google, nell’ultima tornata di aggiornamenti di fine luglio, ha sanato tre delle quattro lacune di sicurezza facendo subito proprie le patch rilasciate dagli ingegneri di Qualcomm.
L’ultima vulnerabilità, però, non è stata risolta in tempo e verrà corretta solamente a settembre.
Il problema, al solito, è l’elevata frammentazione di Android e la scarsa propensione dei produttori a rilasciare tempestivamente gli aggiornamenti, soprattutto per i dispositivi più economici o che hanno già qualche anno “sulle spalle”.
Il consiglio, al momento, è di porre massima attenzione sulle app che si installano limitandosi a caricare solo quelle ritenute più affidabili.
Aggiornamento: pubblichiamo volentieri il commento di Qualcomm che l’azienda californiana ci ha fatto pervenire attraverso il suo ufficio stampa: “Offrire tecnologie che supportino i migliori livelli di sicurezza e privacy è una priorità per Qualcomm Technologies, Inc. Queste vulnerabilità ci sono state segnalate dai ricercatori tra febbraio e aprile di quest’anno e tra aprile e luglio abbiamo reso disponibili le patch per tutte le vulnerabilità a clienti, partner e alla community open source, oltre a pubblicarle su CodeAurora. Qualcomm Technologies, Inc. continua a lavorare proattivamente sia internamente che con il supporto di ricercatori per identificare e indirizzare potenziali vulnerabilità della sicurezza“.