da Hardware Upgrade :
I ricercatori di Check Point hanno scoperto una vulnerabilit di criticit alta nei chip mobile Mobile Station Modem (MSM) di Qualcomm che, se sfruttata, potrebbe consentire ad eventuali aggressori di accedere ai messaggi di testo degli utenti di telefoni cellulari, alla cronologia delle chiamate e ad ascoltare le loro conversazioni. Il bug presente anche sugli MSM con supporto al 5G di ultima generazione del produttore americano e – secondo le fonti – riguarda il 40% degli smartphone messi sul mercato dai produttori pi disparati.
“Se sfruttata, la vulnerabilit potrebbe consentire a un utente malintenzionato di utilizzare il sistema operativo Android stesso come punto di ingresso per iniettare codice dannoso e invisibile nei telefoni”, ha dichiarato Check Point relativamente al bug, contrassegnato come CVE-2020-11292. La falla di sicurezza potrebbe inoltre consentire agli aggressori di sbloccare funzionalit della SIM installata sul telefono compromesso, e aggirare le eventuali limitazioni previste dagli operatori che hanno fornito la scheda all’utente.
Il controllo del modem pu essere ottenuto attraverso l’exploit di un bug heap overflow presente nella Qualcomm MSM Interface (QMI) utilizzata nelle piattaforme mobile per far dialogare l’hardware con il software dei dispositivi. Un’app scritta ad-hoc potrebbe sfruttare la falla per nascondere qualsiasi attivit sotto la copertura del modem, rendendosi invisibile a qualsiasi sistema di sicurezza adottato su Android per il rilevamento di attivit dannose. Check Point ha dichiarato di aver divulgato la falla al pubblico per consentire alla community dei ricercatori di sicurezza di aiutare Qualcomm e gli altri produttori a migliorare la sicurezza nei chip modem mobile.
A ottobre l’exploit stato condiviso con Qualcomm, che ha confermato la sua esistenza e lo ha contrassegnato come vulnerabilit ad alta gravit, informando tutti i produttori di dispositivi interessati. A dicembre Qualcomm ha poi rilasciato ai produttori partner un aggiornamento di sicurezza, sollecitando il rilascio di un aggiornamento su tutti i dispositivi supportati.
Falla CVE-2020-11292, come proteggersi
I possessori di smartphone recenti che ancora ricevono aggiornamenti di sicurezza dovrebbero essere al sicuro dalla vulnerabilit semplicemente installando gli ultimi aggiornamenti di sicurezza, tuttavia coloro che possiedono dispositivi non pi aggiornati non hanno alcuna protezione dal bug CVE-2020-11292. Il consiglio, per loro, non installare alcuna app sospetta, o in generale installare app solo via Google Play Store o altri store di app ufficiali. Ad oggi, quasi il 20% dei dispositivi Android utilizza ancora Android 9.0 Pie, mentre circa il 9% fa affidamento ad Android 8.1 Oreo che stato rilasciato nella seconda met del 2017. Questi dispositivi potrebbero non ricevere mai un aggiornamento per la vulnerabilit appena descritta da Check Point.
Per i dispositivi ancora supportati, invece, Qualcomm intende porre l’accento sul suo impegno nel fornire hardware e interfacce software sicure per l’utente finale. Lo scorso anno l’azienda ha risolto diverse falle scoperte sul Digital Signal Processor (DSP) proprietario, insieme a Krk, falla di sicurezza che si manifestava con le reti protette via WPA2. Tutti i dettagli tecnici su CVE-2020-11292 sono disponibili nel rapporto ufficiale di Check Point.