I ricercatori di CheckPoint hanno scoperto una serie di falle molto serie nel chip DSP (Digital Signal Processor) usato dai SoC Snapdragon di Qualcomm.

Considerata la diffusione di questi SoC, CheckPoint stima che il 40% di tutti gli smartphone sia affetta dalle vulnerabilità: si tratta di dispositivi di ogni fascia, dagli entry-level ai top di gamma.

Il chip DSP gestisce l'elaborazione e la trasmissione di audio e immagini: offre molte funzioni avanzate ed è centrale per pressoché ogni operazione compiuta con gli smartphone.

Le falle scoperte in questi chip «trasformano il telefono in uno strumento perfetto per spiare, dato che non richiede alcuna interazione da parte dell'utente» spiega CheckPoint.

«Le informazioni che possono essere estratte dai telefoni includono le foto, i video, le registrazioni delle chiamate, i dati del microfono catturati in tempo reale, i dati relativi al GPS e alla localizzazione, e altro ancora».

Non solo: le falle possono essere sfruttate per fare in modo che il telefono non risponda più ai comandi, impedendo quindi l'accesso ai dati in esso contenuti.

Infine, sempre tramite le falle è possibile nascondere malware e codici pericolosi in maniera tale che le loro attività non possano essere scoperte e che non sia più possibile rimuovere i malware stessi.

La situazione, come si può capire, è potenzialmente molto preoccupante. Qualcomm in realtà ha già rilasciato una correzione, ma adesso spetta ai singoli produttori di smartphone integrarla nei loro dispositivi. Ciò, d'altra parte, vale solo per quelli ancora supportati: per tutti gli altri non ci sarà mai nulla da fare.

«Sebbene Qualcomm abbia risolto il problema, la storia purtroppo non è ancora finita» ha commentato Yaniv Balmas, capo dei ricercatori di CheckPoint.

«Centinaia di milioni di telefoni sono esposti a questo rischio di sicurezza. Vi possono spiare. Possono farvi perdere tutti i dati. Se le falle fossero scoperte e usate da malintenzionati, milioni di utenti non avrebbero quasi alcun modo di proteggersi, e per molto tempo».

«Tocca quindi ora ai produttori, come Google, Samsung e Xiaomi, integrare le patch nei loro telefoni, sia quelli in produzione che quelli sul mercato» conclude CheckPoint.

Data la gravità della situazione, gli esperti hanno preferito non condividere con il grande pubblico i dettagli delle falle, che vengono rivelati soltanto a quanti hanno interesse a integrare le soluzioni nei propri prodotti: la speranza è che ciò rallenti la scoperta di quelle stesse vulnerabilità da parte dei criminali.

D'altra parte, CheckPoint ha anche ritenuto che non fosse una buona idea restarsene in silenzio: rivelare il problema dovrebbe mettere sotto pressione le aziende interessate, affinché si attivino in fretta per risolvere.