I ricercatori di FireEye hanno riportato la presenza di una falla nel pacchetto API introdotto da Qualcomm 5 anni fa
Nel 2011 Qualcomm, fornitrice della maggior parte dei system-on-a-chip presenti sugli smartphone e tablet Android, introduceva sul mercato delle nuove API come parte del servizio di sistema “network manager”. Tra le nuove funzionalità supportate si notavano capacità aggiuntive di tethering e molto altro. Il problema, secondo i ricercatori di FireEye, è che il pacchetto include una falla che rende possibile a terzi di compiere azioni di violazione dello smartphone preso di mira. Tra le azioni pilotate dall’esterno, ci sarebbero la lettura degli SMS, della cronologia delle chiamate in ingresso e in uscita e la facoltà di cambiare le impostazioni del telefono.
Anni di oblio
Come detto, la vulnerabilità esiste da 5 anni e anche se patchata in vari casi, mette ancora in pericolo tanti dispositivi. Il problema è che è difficile risolvere la questione con un semplice fix, visto che il bug riguarda linee di codice open source, usato da tante aziende e sviluppatori indipendenti, come Cyanogen. Tuttavia, non vi sono prove dello sfruttamento della falla, quindi da FireEye dicono di non preoccuparsi più di tanto; Qualcomm e Google sono state avvertite della questione e, all’interno dei bollettini di sicurezza mensili, sono state già apportate le dovute correzioni. Più che altro, a rischiare potrebbero essere gli utenti con un sistema operativo non aggiornato, come KitKat, JellyBean e Ice Cream Sandwich, per i quali non è detto che sia stata prodotta una soluzione.
