Google Project zero, è riuscita a scoprire una falla di sicurezza ad alto rischio, nelle CPU Qualcomm Adreno. Google ha seguito una prassi adottata per incentivare le aziende, ad intervenire con più rapidità ed efficacia nella risoluzione dei bug. Essa consiste nel dare a chi per esso, un ultimatum di 90 giorni, dopodiché sarà resa pubblica la vulnerabilità. Dal momento che, l’azienda produttrice del chip, non ha sviluppato una patch adeguata entro i 90 giorni dalla comunicazione privata, Google ha reso pubblica la sua scoperta.
I dettagli tecnici della vulnerabilità scoperta da Google Project Zero, possono essere letti qui. Anticipiamo subito che i dati in questione trattano argomenti complessi. La sintesi più estrema è che: un errore sulla mappatura di memoria, può garantire ad un processo figlio, i permessi di lettura della memoria allocata da un processo padre, senza che quest’ultima ne sia a conoscenza e senza richiedere autorizzazioni. Per cui il processo figlio, potrebbe essere un malware, in grado di estrarre dati sensibili all’insaputa dell’utente.
I ricercatori di Google Project Zero riconoscono però, che sia una tipologia di exploit piuttosto complesso da eseguire. Considerando infatti che gli stessi dati potrebbero essere rubati in maniera più basilare, ovvero con l’inganno, ciò non toglie che la falla debba essere aggiustata. Qualcomm, in seguito, ha eseguito un update, il problema è che nell’aggiornamento stesso, erano presenti ulteriori falle.
Google Project Zero ha suggerito infatti, di sospendere quest’ultima patch, ma Qualcomm ha risposto che investigherà. Ormai la deadline di tre mesi è scaduta, quindi, come sopra citato, Google ha reso pubblica la sua scoperta.
È curioso il fatto che Qualcomm non abbia richiesto un prolungamento del tempo limite, come di consueto in casi simili. Ora l’azienda produttrice, deve necessariamente fare una corsa contro il tempo e trovare una patch, prima che gli hacker riescano a sfruttare la falla.
Voi cosa ne pensate di questa falla di Qualcomm? Fatecelo sapere nei commenti qui sotto e continuate a seguirci su Nerdpool.it per ulteriori articoli sul mondo tech e non.
