Check Point Software Technologies ha comunicato di aver individuato oltre 400 vulnerabilità nei chip DPS di Qualcomm. Per capire quanto esteso sia il problema, basti la valutazione secondo cui oltre il 40% dei telefoni nel mondo (ivi compresi quelli di fascia alta delle linee di prodotti Google, LG, Samsung, Xiaomi e OnePlus) sarebbero vulnerabili e possibili oggetto di attacco remoto.
Il problema non è stato risolto
Secondo quanto comunicato, il problema è stato individuato all’interno dei Digital Signal Processor (DSP) di Qualcomm, una componente presente in gran parte dei telefoni Android.
Un DSP è un processore dedicato e ottimizzato per eseguire in maniera estremamente efficiente sequenze di istruzioni ricorrenti nell’elaborazione di segnali digitali. I DSP sono progettati per eseguire funzioni matematiche come addizione e sottrazione ad alta velocità con il minimo consumo di energia. La tecnologia si trova all’interno di cuffie, smartphone, altoparlanti intelligenti, attrezzatura audio da studio, sistemi di intrattenimento per veicoli e altro ancora. Per esempio, c’è un DSP all’interno del vostro smartphone per decodificare file MP3, potenziare i bassi della vostra musica, eseguire la matematica per la cancellazione attiva del rumore e riconoscere la vostra voce quando dite “Ehi, Google!”.
Il report sarà presentato in occasione della DEF CON 2020, ma come in questo caso non vengono rilasciati dettagli tecnici in virtù dell’altissima pericolosità del problema. Tali dettagli sono stati invece condivisi con Qualcomm ed i produttori coinvolti, affinché possano rilasciare gli opportuni aggiornamenti e calmierare l’attuale situazione di pericolo:
Check Point Research ha deciso di non pubblicare tutti i dettagli tecnici di queste vulnerabilità fino a quando i produttori di telefonia mobile non avranno una soluzione completa ai possibili rischi descritti. Tuttavia, abbiamo deciso di annunciare questa scoperta per sensibilizzare l’opinione pubblica su questi problemi. Inoltre, abbiamo aggiornato i funzionari governativi competenti e i produttori di dispositivi mobili interessati, e abbiamo collaborato a questo proposito per aiutare a rendere i loro telefoni cellulari più sicuri, con tutti i dettagli della ricerca. Check Point Research si impegna a rendere la tecnologia e i prodotti in tutto il mondo più sicuri e collaborerà con qualsiasi fornitore di sicurezza che richieda tale collaborazione. In uno sforzo proattivo, abbiamo anche offerto alle organizzazioni che potrebbero essere interessate da questi rischi 20 licenze SandBlast Mobile gratuite per la loro gestione dei dispositivi mobili per proteggere e prevenire qualsiasi potenziale danno nei prossimi 6 mesi da questa pubblicazione. iPhone non è interessato dalle vulnerabilità descritte nella in questa ricerca.
Una semplice app benigna, senza necessità di autorizzazione alcuna, potrebbe celare un exploit in grado di colpire una di queste vulnerabilità e prendere il controllo dello smartphone. La situazione non è grave poiché non sono noti attacchi relativi a tali bug, ma è seria poiché il pericolo potenziale è sotto gli occhi di tutti.
Aggiornamento cercasi.