Possedete uno di questi smartphone? I vostri dati sono potenzialmente a rischio

I dispositivi con chipset Qualcomm hanno un bootloader primario (PBL) che all'accensione avvia il sistema Android. Oltre a questo, però, è presente anche un bootloader di emergenza (EDL, ovvero Emergency Download Mode) che dà la possibilità ad un produttore di forzare il flash del software sul dispositivo.

Questo bootloader è di sola lettura (quindi non può essere modificato) e ha un totale controllo sulla memoria interna. Alcuni OEM (come OnePlus e Xiaomi) hanno fornito ufficialmente dei programmi appositi che tramite un protocollo chiamato "Firehose" permettono di sfruttare l'EDL per eseguire un unbrick del telefono. Per altre compagnie (come Nokia) questo programma è trapelato.

Dei ricercatori di Alpha Research hanno però scoperto che questo protocollo contiene delle vulnerabilità che permetterebbero ad un malintenzionato di ottenere pieno accesso ai dati nel dispositivo.

La buona notizia è che questo exploit richiede di avere tra le mani il dispositivo al quale si vuole accedere, e (in alcuni casi) necessita anche di componenti o manomissioni hardware non proprio immediate.

La brutta notizia è che questa vulnerabilità non può essere coperta con alcuna patch (ed è quindi estremamente pericolosa).

Principalmente questo problema affligge dispositivi di Xiaomi e OnePlus, ma nella lista completa che alleghiamo a fine articolo ci sono anche LG G4 ed un paio di Nexus.