Qualcomm

Qualcomm Snapdragon, scoperte vulnerabilità nel DSP

Check Point Software ha scoperto diverse vulnerabilità nel DSP dei processori Snapdragon di Qualcomm installati in oltre un miliardo di smartphone.

Gli esperti di Check Point Software hanno scoperto oltre 400 porzioni di codice vulnerabile nei DSP dei processori Snapdragon di Qualcomm. Considerato che l’azienda californiana possiede circa il 40% di market share, le vulnerabilità sono presenti in oltre un miliardo di smartphone. I dettagli tecnici non sono stati divulgati pubblicamente, ma i diretti interessati sono stati informati.

Alle vulnerabilità sono stati assegnati i seguenti numeri: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 e CVE-2020-11209. Check Point Software ha comunicato i dettagli a Qualcomm che ha già provveduto alla distribuzione delle patch agli OEM. Ora tocca ai produttori di smartphone rilasciare gli aggiornamenti, ma ciò avverrà sicuramente solo per i modelli più recenti. Milioni di dispositivi nel mondo rimarranno senza protezione con il rischio di lasciare aperte le porte a varie tipologie di attacchi.

Le vulnerabilità sono presenti nell’unità DSP (Digital Signal Processor) Hexagon dei SoC Snapdragon. Questo componente gestisce diverse funzionalità, come la ricarica rapida e l’elaborazione audio/video. Secondo Check Point Software, le vulnerabilità possono essere utilizzate per trasformare lo smartphone in un tool di spionaggio, in quanto un cybercriminale può registrare le chiamate, scattare foto e scoprire la posizione geografica dell’utente.

È possibile inoltre effettuare un attacco DoS (Denial-of-Service), impedendo l’accesso ai dati memorizzati sul dispositivo. Infine è possibile installare malware che non viene rilevato e non può essere eliminato. Un portavoce di Qualcomm ha rilasciato la seguente dichiarazione:

Fornire tecnologie che supportano sicurezza e privacy è una priorità per Qualcomm. Per quanto riguarda le vulnerabilità nel Qualcomm Compute DSP rivelate da Check Point, abbiamo lavorato diligentemente per risolvere il problema e rendere disponibili le opportune mitigazioni agli OEM. Non abbiamo prove che siano state sfruttate. Incoraggiamo gli utenti finali ad aggiornare i dispositivi non appena le patch saranno disponibili e ad installare solo applicazioni da fonti attendibili, come il Google Play Store.

PCProfessionale © riproduzione riservata.