Si chiama Quadrooter ed è un insieme di quattro vulnerabilità scoperte nei chip di Qualcomm e che, potenzialmente, colpiscono più di 900 milioni tra smartphone e tablet Android in tutto il mondo.
Le falle che compongono Quadrooter interessano i dispositivi Android Marshmallow e precedenti con i chip dell'azienda statunitense e permettono a un malintenzionato di ottenere l'accesso a livello root su qualsiasi dispositivo con chip Qualcomm. A scoprire le vulnerabilità è stato un team di ricercatori di Check Point, che ne ha discusso alla conferenza sulla sicurezza DEF CON 24 a Las Vegas.
Tutto ciò che un malintenzionato deve fare è scrivere un malware e fare in modo di farlo arrivare sul dispositivo, magari tramite il phishing e app con nomi che ricordano quelle legittime. Una volta installato il gioco è fatto, si ha pieno accesso al dispositivo (dati, fotocamera, microfono, ecc.) senza necessità di richiedere e ottenere permessi.
Essendo i prodotti Android con chip Qualcomm molto diffusi (Google Nexus, HTC 10, LG G5, OnePlus 3, Samsung Galaxy S7, ecc.), e le vulnerabilità all'interno di più versioni del sistema operativo, ecco come si è arrivati a stimare la cifra di 900 milioni.
Per controllare se il vostro smartphone o tablet è vulnerabile a Quadrooter potete usare un'app gratuita messa a disposizione da Check Point. Poiché le vulnerabilità sono insite nei driver che sono preinstallati sui dispositivi nel momento della produzione, un fix può arrivare solo tramite l'installazione di un aggiornamento emesso dai distributori dei dispositivi o dagli operatori dopo aver ricevuto il fix da Qualcomm.
"Questa situazione evidenzia i rischi insiti al modello di sicurezza di Android", hanno dichiarato i ricercatori. "Gli aggiornamenti di sicurezza critici devono passare lungo l'intera filiera prima che siano resi disponibili agli utenti finali".
Tre delle quattro vulnerabilità sono già state risolte con gli aggiornamenti di sicurezza mensili di Google e la rimanente sarà sistemata nel futuro aggiornamento di settembre. Questo però non assicura l'arrivo degli update su tutti gli smartphone o i tablet, poiché spetta ai produttori integrare le patch nelle ROM personalizzate di Android.
È probabile quindi che tali aggiornamenti arriveranno, magari in ritardo, solo sui top di gamma e gli smartphone più recenti che i produttori hanno interesse a vendere e supportare. Fortunatamete al momento queste falle non sono ancora state usate per mettere a punto degli exploit.
AGGIORNAMENTO: Abbiamo ricevuto una nota da Qualcomm che vi riportiamo per dovere di cronaca. "Offrire tecnologie che supportino i migliori livelli di sicurezza e privacy è una priorità per Qualcomm Technologies, Inc. Queste vulnerabilità ci sono state segnalate dai ricercatori tra febbraio e aprile di quest'anno e tra aprile e luglio abbiamo reso disponibili le patch per tutte le vulnerabilità a clienti, partner e alla community open source, oltre a pubblicarle su CodeAurora. Qualcomm Technologies, Inc. continua a lavorare proattivamente sia internamente che con il supporto di ricercatori per identificare e indirizzare potenziali vulnerabilità della sicurezza".
 | LG Nexus 5X |