Le vulnerabilità nei chip Qualcomm stanno diventando un bersaglio sempre più appetibile per attacchi mirati e sofisticati. Recentemente, l'azienda americana ha dovuto correre ai ripari per affrontare tre falle di sicurezza di tipo "zero-day" nei suoi processori grafici Adreno, già sfruttate attivamente da cybercriminali in operazioni altamente mirate. Le vulnerabilità, scoperte dal team di sicurezza Android di Google, rappresentano un rischio concreto per milioni di dispositivi in tutto il mondo, con potenziali implicazioni per la privacy e la sicurezza degli utenti.
Il team di analisi delle minacce di Google (TAG) ha rilevato che queste falle sono già state sfruttate, seppur in modo limitato e mirato, confermando la gravità della situazione. Qualcomm ha prontamente rilasciato le patch correttive già a maggio, invitando con urgenza i produttori di dispositivi (OEM) ad implementarle il prima possibile sui terminali vulnerabili.
Le tre vulnerabilità in questione, identificate come CVE-2025-21479, CVE-2025-21480 e CVE-2025-27038, colpiscono il componente Adreno GPU (Graphics Processing Unit) e potrebbero consentire a malintenzionati di eseguire codice non autorizzato, causando potenzialmente corruzione della memoria e compromissione dei dispositivi.
Anatomia di un attacco di precisione
Le prime due vulnerabilità (CVE-2025-21479 e CVE-2025-21480) sono classificate come problemi di "Autorizzazione non corretta" nel componente grafico, entrambe con un punteggio CVSS di 8.6, che indica un livello di gravità elevato. Secondo la descrizione fornita da Qualcomm, queste falle possono causare "corruzione della memoria dovuta all'esecuzione di comandi non autorizzati nel micronode GPU durante l'esecuzione di specifiche sequenze di comandi".
La terza vulnerabilità (CVE-2025-27038), con un punteggio CVSS di 7.5, è classificata come problema di tipo "use-after-free" nel componente grafico. Questa tipologia di falla permette di manipolare aree di memoria già liberate, causando potenzialmente "corruzione della memoria durante il rendering grafico utilizzando i driver GPU Adreno in Chrome".colarmente insidiosa perché operano a un livello profondo del sistema.
Qualcomm ha mantenuto il massimo riserbo sui dettagli degli attacchi che hanno sfruttato queste vulnerabilità, probabilmente per evitare di fornire informazioni utili ad altri potenziali attaccanti mentre le patch non sono ancora state distribuite su tutti i dispositivi vulnerabili. Tuttavia, il coinvolgimento del Google Threat Analysis Group suggerisce che queste falle potrebbero essere state utilizzate in operazioni altamente sofisticate e mirate contro obiettivi specifici.
Non è la prima volta che Qualcomm si trova ad affrontare problemi di sicurezza di questa portata. Lo scorso ottobre, la U.S. Cybersecurity and Infrastructure Security Agency (CISA) aveva aggiunto al suo catalogo delle vulnerabilità note sfruttate attivamente (KEV) la CVE-2024-43047, un'altra falla di tipo "use-after-free" che colpiva il Digital Signal Processor (DSP) di numerosi chipset dell'azienda.
La vulnerabilità scoperta a ottobre era stata segnalata da Seth Jenkins del team Google Project Zero e Conghui Wang del laboratorio di sicurezza di Amnesty International, due organizzazioni frequentemente coinvolte nell'indagine di attacchi informatici collegati a fornitori di spyware commerciale. Questo dettaglio fa sospettare che anche le vulnerabilità più recenti potrebbero essere state sfruttate nell'ambito di operazioni di sorveglianza mirata.
Il crescente numero di vulnerabilità zero-day scoperte nei componenti hardware di base come i processori Qualcomm evidenzia una tendenza preoccupante: gli attori delle minacce stanno spostando sempre più la loro attenzione verso falle di basso livello che possono garantire un accesso persistente e difficile da rilevare ai dispositivi compromessi.
Per gli utenti di dispositivi Android basati su processori Qualcomm, la raccomandazione è chiara: mantenere i propri dispositivi sempre aggiornati con le ultime patch di sicurezza è fondamentale per proteggersi da queste minacce avanzate. Gli aggiornamenti di sicurezza rilasciati dai produttori di smartphone includono infatti le correzioni per queste vulnerabilità critiche.