Il chip Qualcomm Mobile Station Modem (MSM) è un elemento che l’azienda di San Diego (California, USA) presentò addirittura nel 1997 e che infatti è presente nei SoC (System-on-a-Chip) con supporto 2G, 3G, 4G e 5G.
Complessivamente si trova nel 40% dei dispositivi mobili progettati e commercializzati, compresi i prodotti a marchio Samsung, Google, OnePlus e Xiaomi.
I ricercatori di Check Point hanno scoperto una vulnerabilità nel chip MSM di Qualcomm (tracciata con l’identificativo CVE-2020-11292) che può consentire agli aggressori di accedere ai messaggi di testo, alla cronologia delle chiamate e ascoltare le conversazioni degli utenti.
Descritto in questo articolo tecnico la falla di sicurezza potrebbe essere sfruttata come leva per provocare il caricamento e l’esecuzione di codice malevolo sugli smartphone e sui tablet Android.
Eventuali applicazioni dannose possono utilizzare la vulnerabilità in Qualcomm MSM per nascondere la loro attività sfruttando “la copertura” offerta dal chip stesso e rendendosi così invisibili alle funzioni di sicurezza usate da Android per rilevare le attività dannose.
Check Point ha rivelato la sua scoperta a Qualcomm nel mese di ottobre 2020: l’azienda ha confermato l’esistenza del problema valutando il bug di sicurezza come una vulnerabilità di alta gravità e ha informato i partner interessati.
Per proteggersi dai malware che sfruttano questo bug o problemi di sicurezza simili è fondamentale scaricare e installare gli aggiornamenti di sistema per Android rilasciati dai produttori. Al solito, inoltre, l’installazione di applicazioni solo dagli store ufficiali contribuisce a ridurre il rischio di installare codice malevolo.
Qualcomm, da parte sua, ha voluto confermare che la vulnerabilità è stata risolta con le patch di dicembre 2020 trasmesse ai produttori di dispositivi mobili. “Incoraggiamo gli utenti ad aggiornare i loro dispositivi quando le patch diventano disponibili“, ha osservato la società.
“Fornire tecnologie che supportano una solida sicurezza e privacy è una priorità per Qualcomm. Ci congratuliamo con i ricercatori di sicurezza di Check Point per aver utilizzato prassi informative standard del settore. Qualcomm Technologies ha già reso disponibili agli OEM le correzioni nel dicembre 2020, e incoraggiamo gli utenti finali ad aggiornare i loro dispositivi quando le patch diventano disponibili“, ha ulteriormente puntualizzato un portavoce di Qualcomm.
Coloro che usano dispositivi Android di più recente fattura dovrebbero essere tutti protetti contro eventuali tentativi di compromettere i loro dispositivi. Chi non è passato a un nuovo dispositivo Android nel giro degli ultimi due anni o non hanno installato una ROM aggiornata (vedere Aggiornamento Android, come effettuarlo quando sembra impossibile) sono invece potenzialmente a rischio di attacco.
L’anno scorso Qualcomm ha risolto più vulnerabilità che interessano il chip DSP (Digital Signal Processor) negli Snapdragon: esse permettono agli aggressori di assumere il controllo degli smartphone senza interazione dell’utente, spiare i loro dati e impiantare malware che risultano non facilmente rimovibili ma che, soprattutto, sono in grado di nascondersi efficacemente: Scoperte oltre 400 vulnerabilità nel chip DSP di Qualcomm.