DSP-gate: l'enorme difetto del chip Qualcomm lascia il 40% degli smartphone completamente esposto
3 minuto. leggere
Edizione del
Condividi questo articolo
Migliora questa guida
Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più
Qualcomm ha confermato la scoperta di un enorme difetto nei chipset degli smartphone che lascia i telefoni completamente esposti agli hacker.
Scoperto da Check Point Security, il difetto nel DSP Snapdragon presente nella maggior parte dei telefoni Android consentirebbe agli hacker di rubare i tuoi dati, installare software di spionaggio impossibile da trovare o bloccare completamente il tuo telefono.
Check Point ha rivelato pubblicamente il difetto a Pwn2Own, rivelando che la sicurezza di Qualcomm riguardo alla manomissione del DSP nei telefoni Snapdragon è stata facilmente aggirata, con 400 difetti sfruttabili trovati nel codice.
Notano:
Per motivi di sicurezza, il cDSP è concesso in licenza per la programmazione da OEM e da un numero limitato di fornitori di software di terze parti. Il codice in esecuzione su DSP è firmato da Qualcomm. Tuttavia, dimostreremo come un'applicazione Android può bypassare la firma di Qualcomm ed eseguire codice privilegiato su DSP e quali ulteriori problemi di sicurezza possono comportare.
Hexagon SDK è il modo ufficiale per i fornitori di preparare il codice relativo a DSP. Abbiamo scoperto seri bug nell'SDK che hanno portato a centinaia di vulnerabilità nascoste nel codice di proprietà di Qualcomm e dei fornitori. La verità è che quasi tutte le librerie eseguibili DSP incorporate negli smartphone basati su Qualcomm sono vulnerabili agli attacchi a causa di problemi nell'Hexagon SDK. Evidenzieremo le falle di sicurezza generate automaticamente nel software DSP e poi le sfrutteremo.
Soprannominato DSP-gate, l'exploit ha consentito a qualsiasi app installata su un telefono vulnerabile (che sono principalmente dispositivi Android) di assumere il controllo del DSP e quindi avere libero sfogo sul dispositivo.
Qualcomm ha corretto il problema, ma sfortunatamente a causa della natura frammentata di Android, è improbabile che la correzione raggiunga la maggior parte dei telefoni.
"Sebbene Qualcomm abbia risolto il problema, purtroppo non è la fine della storia", ha affermato Yaniv Balmas, responsabile della ricerca informatica presso Check Point, "centinaia di milioni di telefoni sono esposti a questo rischio per la sicurezza".
"Se tali vulnerabilità vengono rilevate e utilizzate da attori malintenzionati", ha aggiunto Balmas, "ci saranno decine di milioni di utenti di telefoni cellulari senza quasi alcun modo per proteggersi per molto tempo".
Fortunatamente, Check Point non ha ancora pubblicato tutti i dettagli di DSP-gate, il che significa che potrebbe passare del tempo prima che gli hacker inizino a sfruttarlo in natura.
In una dichiarazione Qualcomm ha dichiarato:
“Fornire tecnologie che supportano sicurezza e privacy solide è una priorità per Qualcomm. Per quanto riguarda la vulnerabilità di Qualcomm Compute DSP divulgata da Check Point, abbiamo lavorato diligentemente per convalidare il problema e mettere a disposizione degli OEM le mitigazioni appropriate. Non abbiamo prove che sia attualmente sfruttato. Incoraggiamo gli utenti finali ad aggiornare i propri dispositivi non appena le patch diventano disponibili e a installare applicazioni solo da posizioni attendibili come Google Play Store".
via Forbes
