Durante la ben nota competizione Mobile Pwn2Own, organizzata da Zero Day Initiative, un gruppo di ricercatori dei Laboratori MWR di F-Secure hanno scoperto alcune vulnerabilità sconosciute nel firmware di smartphone apprezzati e molto utilizzati come Samsung Galaxy S9 e Xiaomi Mi 6, entrambi a cuore Android.
Rob Miller, Georgi Geshev, e Fabian Berteke hanno dimostrato come sia possibile, per i criminali informatici, causare problemi sui dispositivi degli utenti, sottrarre dati personali, danneggiare i file altrui e installare componenti software arbitrari.
Al momento F-Secure ha preferito non fornire alcun dettaglio sulla natura delle vulnerabilità rilevate rimarcando piuttosto la pericolosità degli exploit zero-day anche sui dispositivi mobili.
Mentre infatti, osserviamo noi, la consapevolezza del problema è complessivamente più sentita in ambito desktop e server, gli aspetti legati alla sicurezza vengono spesso posti in secondo piano in ambito “mobile”.
Il rischio è quindi quello che un dispositivo non aggiornato e quindi vulnerabile a certe tipologie di attacco (complice anche la scarsa propensione di alcuni OEM a distribuire le patch, soprattutto sui dispositivi che non sono di fascia alta) possa essere usato come “testa di ponte” per sferrare un’aggressione all’intera infrastruttura di rete (domestica o aziendale che sia).
F-Secure ha informato responsabilmente le aziende coinvolte che adesso sono già al lavoro per sviluppare patch correttive.
L’azienda finlandese entrerà nel dettaglio non appena ciascun vendor avrà pubblicato gli aggiornamenti correttivi.
Secondo Ed Parsons, F-Secure Managing Director, quanto scoperto dai ricercatori durante la competizione Mobile Pwn2Own è una testimonianza di come iniziative di questo tipo possano aiutare gli esperti ad apprendere aspetti importanti, da tenere in considerazione per poter offrire una migliore protezione ai clienti finali.