Non c’è pace per Qualcomm , il principale produttore di system-on-a-chip per il mercato Android. Dopo la scoperta di un bug nella tecnologia proprietaria TrustZone che minava alla base l’efficacia della crittografia full-disk disponibile in Android, dalla conferenza DEF CON arriva un quartetto di exploit a danno di tutti i dispositivi dotati di SoC Qualcomm, ognuno dei quali consente ad un attaccante di ottenere accesso completo (root) al device colpito.
Le vulnerabilità, ribattezzate collettivamente QuadRooter , sono state presentate da un team di ricercatori di Check Point alla conferenza DEF CON. I device potenzialmente attaccabili sono tutti quelli dotati di SoC Qualcomm, più di 900 milioni tra i dispositivi Android attivi, per tutte le versioni di Android, da Marshmallow in giù. Qualcomm ne è stata informata già ad aprile, e le ha classificate come “ad alto rischio” dopo la propria analisi.
Ogni componente di QuadRooter è integrabile in un’applicazione malevola che non ha bisogno di particolari permessi, e dunque ancora più pericolosa perché semplice da rendere apparentemente innocua. Una volta eseguita consente all’attaccante di praticare una privilege escalation e diventare superutente sul dispositivo. Check Point ha rilasciato sul Play Store di Google un’app gratuita che permette di verificare se il proprio smartphone è vulnerabile a QuadRooter.
Per tappare la falla è necessario un aggiornamento dei driver per i chip , che Qualcomm ha prodotto e distribuito “a clienti, partner e alla community open source, oltre a pubblicarle su CodeAurora” tra aprile e luglio 2016. Da lì in poi però si ricade nel solito problema strutturale dell’ecosistema Android , con le velocità estremamente eterogenee con cui i produttori rilasciano aggiornamenti software per i propri dispositivi in commercio. Al momento solo gli smartphone Nexus di Google risultano protetti, e nemmeno completamente visto il rilascio di 3 fix su 4, con l’ultimo in arrivo nel prossimo update mensile al codice AOSP. “Nessuno ha rilasciato una protezione completa da QuadRooter al momento, anche a causa di un’intersezione di responsabilità sul codice da fixare tra Qualcomm e Google”, afferma Michael Shaulov, direttore del settore prodotti mobile di Check Point.
Gli altri dispositivi, tra cui i molti top di gamma LG, Samsung e HTC, dovranno invece risalire tutta la catena fino all’elemento notoriamente più debole: il produttore . “Questa situazione evidenzia come la catena che va da Google, al produttore di chip, e poi fino al vendor prima che un qualsiasi aggiornamento di sicurezza critico sia disponibile per gli utenti finali costituisca il principale rischio nel modello di sicurezza adottato da Android”, sostiene Shaulov. Senza dimenticare che, in alcuni paesi, di questo farraginoso processo fanno parte anche le compagnie telefoniche.
Stefano De Carlo
Ti potrebbe interessare
8 ago 2016