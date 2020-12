La patch c'è, ma è peggio della falla

A volte, dedicarsi al debug - seppure con successo - è come combattere contro un'idra: per ogni testa tagliata ne spuntano altre due.

Nel caso in questione, l'eroe che ha malamente affrontato l'idra è Qualcomm, nota produttrice dei chip usati in un'infinità di smartphone e tablet.

Tre mesi fa, il Google Project Zero avvisò Qualcomm della presenza di una falla nei driver delle Gpu Adreno: si trattava di una seria vulnerabilità che, se sfruttata, avrebbe potuto portare a leggere aree di memoria che sarebbero dovuto restare protette.

Fortunatamente, sfruttare quel bug in uno scenario reale non è operazione semplicissima; Qualcom comunque si mise all'opera di buona lena per risolvere il problema entro 90 giorni dalla scoperta (ossia entro il 14 dicembre), trascorsi i quali Google avrebbe reso noti i dettagli del bug.

Il 7 dicembre, la patch era pronta. Qualcomm ne condivise i dettagli con gli Oem e anche con il Google Project Zero che, per scrupolo, si mise a esaminarla.

Il 10 dicembre, quando ormai la distribuzione della patch era imminente, dal Project Zero si levò l'altolà: i tecnici di Google avevano scoperto che la patch correggeva effettivamente la vulnerabilità originaria, ma introduceva una nuova falla peggiore della prima.

Qualcomm promise che avrebbe investigato sulla questione, e bloccò il rilascio della patch. Non chiese però a Google di rinviare la pubblicazione dei dettagli del bug originale e così il Project Zero, ligio alle proprie scadenze, il 14 dicembre li messi a disposizione di chiunque.

A questo punto la situazione risultate si può solo definire come imbarazzante. I driver attualmente usati dagli smartphone con Gpu Adreno contengono una falla di cui tutti i dettagli sono noti e che, pertanto, chiunque può sfruttare, sebbene come dicevamo ciò non sia un'operazione banale.

D'altra parte, una patch per quella falla già esiste, ma è tanto più pericolosa della falla stessa che non può essere distribuita fino a che i suoi problemi non saranno risolti.

In tutto questo complicato panorama, a rimetterci sono gli utenti: impotenti, non possono che sperare che Qualcomm si sbrighi ad elaborare e distribuire una nuova patch, e che stavolta essa sia fatta a regola d'arte. Nell'attesa, gli smartphone con Gpu Adreno restano fallati.