Quadrooter, la risposta di Qualcomm e Google

Quadrooter è il nome scelto da Check Point per indicare le quattro vulnerabilità presenti in oltre 900 milioni di smartphone Android con processori Qualcomm. Utilizzando app infette è possibile ottenere i privilegi di root ed eseguire qualsiasi operazione sul dispositivo della vittima. Il chipmaker californiano ha già rilasciato le patch, ma la frammentazione di Android e l’abbandono dei vecchi smartphone rallenta o impedisce del tutto la risoluzione del problema di sicurezza.

Le quattro vulnerabilità, individuate nei driver dei chip Qualcomm, potrebbero consentire l’accesso ai dati personali dell’utente e ai componenti hardware dello smartphone per tracciare i suoi spostamenti con il GPS o registrare le conversazioni con microfono e fotocamere. Il noto produttore dei SoC Snapdragon ha rilasciato un comunicato ufficiale per chiarire che tutte le patch sono già state distribuite. La loro effettiva disponibilità dipende dagli OEM e dagli operatori telefonici, quindi non tutti i device verranno aggiornati.

Offrire tecnologie che supportino i migliori livelli di sicurezza e privacy è una priorità per Qualcomm Technologies, Inc. Queste vulnerabilità ci sono state segnalate dai ricercatori tra febbraio e aprile di quest’anno e tra aprile e luglio abbiamo reso disponibili le patch per tutte le vulnerabilità a clienti, partner e alla community open source, oltre a pubblicarle su CodeAurora. Qualcomm Technologies, Inc. continua a lavorare proattivamente sia internamente che con il supporto di ricercatori per identificare e indirizzare potenziali vulnerabilità della sicurezza.

Eventuali exploit per Quadrooter richiedono l’installazione di app da “origini sconosciute”. Google ha confermato che la funzionalità Verify Apps, introdotta quasi quattro anni fa con Android 4.2 Jelly Bean, blocca l’installazione di APK infetti che sfruttano vulnerabilità simili a quelle scoperte da Check Point. Le patch per tre di esse sono state incluse nell’aggiornamento di agosto, mentre la quarta verrà corretta a settembre. I partner Android possono però utilizzare la patch di Qualcomm.

In base alla diffusione delle varie versioni del sistema operativo, solo il 9,4% dei 900 milioni di dispositivi considerati vulnerabili dovrebbe essere in pericolo, mentre il 90,6% dovrebbe automaticamente bloccare Quadrooter, grazie alla tecnologia Verify Apps.