Hacker con smartphone tra le mani Fonte foto: Shutterstock
SICUREZZA INFORMATICA

Smartphone Android a rischio per vulnerabilità nei chip Qualcomm

Una casa sviluppatrice cinese ha trovato tre vulnerabilità nei chip Qualcomm che consentono agli hacker di infettare o prendere il controllo smartphone Android

8 Agosto 2019 - Tre nuove vulnerabilità critiche sono state scoperte sui dispositivi mobili che montano SoC prodotti da Qualcomm e il sistema operativo Android di Google. Non sono state ancora sfruttate, ma interessano milioni di potenziali vittime.

Le tre vulnerabilità sono state scovate dal Tencent Blade Team, il gruppo di ricerca sulla sicurezza informatica del gigante cinese Tencent. Sono state classificate come CVE-2019-10539, CVE-2019-10540 e CVE-2019-10538 e ribattezzate con il nome collettivo di “QualPwn“. Tutte e tre permettono agli hacker di sferrare attacchi pericolosissimi tramite il Wi-Fi e, per fortuna, sono state già “fixate” da Qualcomm e Google anche se ci vorrà del tempo affinché le patch di sicurezza si diffondano tra le potenziali vittime. Per questo, sottotraccia, è nata una polemica tra Qualcomm e Tencent.

Come funziona QualPwn

La vulnerabilità CVE-2019-10540 è relativa al controller Wi-Fi dei chip Qualcomm e permette ad un hacker di iniettare virus e malware nello smartphone dell’utente senza che sia necessaria alcuna azione da parte dell’utente stesso. È solo necessario che l’hacker riesca ad entrare nella stessa rete Wi-Fi alla quale è collegato lo smartphone da attaccare. La vulnerabilità CVE-2019-10538, invece, è ancor più pericolosa perché, con le stesse modalità, potrebbe permettere all’hacker di prendere il controllo totale del sistema operativo Android. Della terza vulnerabilità non sono stati forniti dettagli.

Quali smartphone sono a rischio QualPwn

I ricercatori di Tencent affermano di aver testato con successo attacchi QualPwn sugli smartphone Pixel 2 e Pixel 3, ma che la vulnerabilità non è limitata ai soli dispositivi di Google bensì a tutti i device che montano i chip Qualcomm 835 e Qualcomm 845. Due chip montati su milioni di smartphone nel mondo prodotti negli ultimi anni.

C’è già la patch, ma…

Esistono già le patch di sicurezza contro QualPwn: Qualcomm e Google ci lavorano da giugno e le fix sono state inserite negli aggiornamenti di sicurezza di agosto. Chi ha un dispositivo Pixel, quindi, può già installarle e proteggersi ma chi ha un telefono di un’altra marca, ma con SoC Qualcomm 835 o 845, dovrà aspettare che il produttore rilasci le patch.

E qui nasce la polemica tra Qualcomm e Tencent: il produttore di chip, infatti, critica la decisione di Tencent di rivelare al pubblico le vulnerabilità durante l’evento Black Hat USA 2019 attualmente in corso a Las Vegas e tramite un portavoce ricorda i ricercatori di Tencent di “utilizzare pratiche di divulgazione coordinate standard del settore attraverso il nostro programma di premi sulle vulnerabilità“. Tencent, però, risponde che “ci dicono che i difetti sono stati corretti e che i consumatori hanno il tempo di installare aggiornamenti di sicurezza sui propri dispositivi“.

© Italiaonline S.p.A. 2019Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963