C'era una vulnerabilità bella grossa sul 40% degli smartphone Android, e non per colpa di Google

Check Point Research ha trovato una vulnerabilità molto grave e molto diffusa, perché relativa ai modem di Qualcomm, usati approssimativamente nel 40% degli smartphone Android, da parte di produttori quali Samsung, Xiaomi, Google stesso e altri. Sfruttando detto bug, un'app malevola può accedere alle chiamate (inclusa la possibilità di registrarle), ai messaggi, e può anche sbloccare una SIM bloccata.

Chiariamo però che una comune applicazione non ha i privilegi necessari per sfruttare questo specifico bug, che diventa quindi davvero critico solo se in congiunzione ad altre vulnerabilità che consentano una scalata di privilegi o simili. I dettagli tecnici li trovate sul sito di Check Point, dove comunque vengono omessi tutti i passaggi necessari a sfruttare il bug, proprio per non dare informazioni pericolose in mano a chiunque.

La dichiarazione di Qualcomm in merito è la seguente:

Fornire tecnologie che supportano una solida sicurezza e privacy è una priorità per Qualcomm. Ci congratuliamo con i ricercatori di sicurezza di Check Point per aver utilizzato prassi informative standard del settore.

Qualcomm Technologies ha già reso disponibili agli OEM le correzioni nel dicembre 2020, e incoraggiamo gli utenti finali ad aggiornare i loro dispositivi quando le patch diventano disponibili.

Sebbene a denti stretti, Qualcomm ringrazia Check Point per aver seguito l'iter migliore, ovvero avvisare il produttore con largo anticipo rispetto al grande pubblico. In questo modo Qualcomm ha potuto realizzare il fix appropriato e rilasciarlo agli OEM già a dicembre 2020. "Molti" di questi hanno già aggiornato i propri dispositivi ed al momento non ci sono prove che il bug scoperto da Check Point sia stato sfruttato maliziosamente. In ogni caso la vulnerabilità sarà inclusa nel bollettino relativo alle patch di giugno 2021, segno che la sua mitigazione non è ancora completa.

Ciò evidenzia quindi, ancora una volta, l'importanza delle patch di sicurezza, che per molti aspetti sono più vitali dei major update stessi. Android è sistema operativo ormai maturo sotto molti aspetti, e spesso i vari produttori introducono novità di rilievo ben prima che lo faccia Google, ma l'aggiunta di qualche fronzolo in più non vale nulla, se poi la base del sistema operativo non è solida.