QualPwn: smartphone basati su SoC Snapdragon 835 e 845 attaccabili in modalità wireless

• Patch management
• Qualcomm

Alcuni ricercatori della cinese Tencent hanno scoperto che i SoC Qualcomm Snapdragon 835 e 845 soffrirebbero di due pericolose vulnerabilità nel firmware che gestisce la connessione wireless. I test sono stati effettuati utilizzando alcuni esemplari di Google Pixel 2 e 3 ma qualunque telefono non aggiornato che utilizza gli stessi SoC risulterebbe potenzialmente vulnerabile.

Battezzati nel loro complesso QualPwn, i due bug saranno oggetto di una trattazione dettagliata durante la prossima edizione della conferenza Black Hat.
Tencent ha comunque già rivelato diverse informazioni tecniche (vedere questa pagina di supporto) spiegando che una delle due falle può essere sfruttata over-the-air ovvero in modalità wireless, senza prendere in mano l’altrui telefono. L’altra lacuna di sicurezza può essere invece utilizzata per modificare arbitrariamente il kernel di Android.

Al momento non sono stati ancora rilevati codici exploit che fanno leva sulle due vulnerabilità. Gli utenti sono comunque invitati a installare quanto prima gli aggiornamenti di sicurezza che Google, in collaborazione con i tecnici di Qualcomm, ha rilasciato quest’oggi (vedere la sezione Qualcomm closed-source components).

Purtroppo sui dispositivi degli utenti finali l’aggiornamento arriverà presumibilmente con un po’ di ritardo perché la distribuzione è a cura dei singoli produttori. Certo è che gli smartphone basati su SoC Snapdragon 835 e 845 sono terminali di fascia alta: è lecito attendersi quindi che i produttori si attivino per rilasciare gli aggiornamenti correttivi nel più breve tempo possibile.