Android, calato il poker di root

Ribattezzate QuadRooter, le quattro vulnerabilità ilustrate al DEF CON affliggono tutti i dispositivi con chip Qualcomm, per un totale di 900 milioni di smartphone. Fix già disponibili, ma solo per Nexus

Roma – Non c’è pace per Qualcomm , il principale produttore di system-on-a-chip per il mercato Android. Dopo la scoperta di un bug nella tecnologia proprietaria TrustZone che minava alla base l’efficacia della crittografia full-disk disponibile in Android, dalla conferenza DEF CON arriva un quartetto di exploit a danno di tutti i dispositivi dotati di SoC Qualcomm, ognuno dei quali consente ad un attaccante di ottenere accesso completo (root) al device colpito.

Le vulnerabilità, ribattezzate collettivamente QuadRooter , sono state presentate da un team di ricercatori di Check Point alla conferenza DEF CON. I device potenzialmente attaccabili sono tutti quelli dotati di SoC Qualcomm, più di 900 milioni tra i dispositivi Android attivi, per tutte le versioni di Android, da Marshmallow in giù. Qualcomm ne è stata informata già ad aprile, e le ha classificate come “ad alto rischio” dopo la propria analisi.

Ogni componente di QuadRooter è integrabile in un’applicazione malevola che non ha bisogno di particolari permessi, e dunque ancora più pericolosa perché semplice da rendere apparentemente innocua. Una volta eseguita consente all’attaccante di praticare una privilege escalation e diventare superutente sul dispositivo. Check Point ha rilasciato sul Play Store di Google un’app gratuita che permette di verificare se il proprio smartphone è vulnerabile a QuadRooter.

QuadRooter by Check Point

Per tappare la falla è necessario un aggiornamento dei driver per i chip , che Qualcomm ha prodotto e distribuito “a clienti, partner e alla community open source, oltre a pubblicarle su CodeAurora” tra aprile e luglio 2016. Da lì in poi però si ricade nel solito problema strutturale dell’ecosistema Android , con le velocità estremamente eterogenee con cui i produttori rilasciano aggiornamenti software per i propri dispositivi in commercio. Al momento solo gli smartphone Nexus di Google risultano protetti, e nemmeno completamente visto il rilascio di 3 fix su 4, con l’ultimo in arrivo nel prossimo update mensile al codice AOSP. “Nessuno ha rilasciato una protezione completa da QuadRooter al momento, anche a causa di un’intersezione di responsabilità sul codice da fixare tra Qualcomm e Google”, afferma Michael Shaulov, direttore del settore prodotti mobile di Check Point.

Gli altri dispositivi, tra cui i molti top di gamma LG, Samsung e HTC, dovranno invece risalire tutta la catena fino all’elemento notoriamente più debole: il produttore . “Questa situazione evidenzia come la catena che va da Google, al produttore di chip, e poi fino al vendor prima che un qualsiasi aggiornamento di sicurezza critico sia disponibile per gli utenti finali costituisca il principale rischio nel modello di sicurezza adottato da Android”, sostiene Shaulov. Senza dimenticare che, in alcuni paesi, di questo farraginoso processo fanno parte anche le compagnie telefoniche.

Stefano De Carlo

Fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Abusi scrive:
    Vogliamo il controllo dei ripetitori
    Noi consumatori vogliamo il controllo dei ripetitori.Un mese in più all'anno, facciamo su 5 milioni di clienti, per un importo mensile di 10 euro, fanno 50 milioni. Ho messo solo 5 milioni di clienti! E questi gli fanno una multa da mezzo milione?Noi vogliamo il controllo dei ripetitori, così come sbagliano, glieli spegnamo, così vedremo se, come é sucXXXXX a fine luglio ai clienti che non si sono ritrovati più il credito residuo sulla propria sim, continueranno con simili abusi.
  • MArcello scrive:
    Ok ma poi?
    Multe.. va bene (bassine).. ma poi che succede? Li faranno tornare sui propri passi o ci teniamo le scadenze a 28gg ?
  • iRoby scrive:
    Mi sto preparando
    Mi sto preparando all'abbandono di Infostrada dopo che passerà a 28 giorni anche la bolletta della sua fibra 50/10 che era tra le più convenienti.Con la mia vicina, siamo entrambi proprietari dell'appartamento ci condividiamo un contratto Fastweb 100/30. Basta tirare 3 metri di cavo Cat.6 e mettere a muro due prese RJ45. Lei mette un cavo Ethernet dal router alla presa ed io in casa mi gestisco come voglio il tutto, con uno switch ed un access point.FanXXXX alle Telco, noi ci dimezziamo il canone... Tanto di banda ce n'è a sufficienza per entrambi.-----------------------------------------------------------Modificato dall' autore il 08 agosto 2016 23.25-----------------------------------------------------------
    • Etype scrive:
      Re: Mi sto preparando
      - Scritto da: iRoby
      Mi sto preparando all'abbandono di Infostrada
      dopo che passerà a 28 giorni anche la bolletta
      della sua fibra 50/10 che era tra le più
      convenienti.Questa cosa è veramente assurda,lo è ancora di più per una linea telefonica, l'anno prossimo s'nventeranno il mese da 2 settimane.Con questo trucchetto alla fine è come se pagassi una mensilitù in più durante l'anno, chi doveva vigilare ha dormito come al solito.
      Con la mia vicina, siamo entrambi proprietari
      dell'appartamento ci condividiamo un contratto
      Fastweb 100/30. Basta tirare 3 metri di cavo
      Cat.6 e mettere a muro due prese RJ45. Lei mette
      un cavo Ethernet dal router alla presa ed io in
      casa mi gestisco come voglio il tutto, con uno
      switch ed un access
      point.Buon per te,anche se non è legale dal loro punto di vista.
    • bubba scrive:
      Re: Mi sto preparando
      - Scritto da: iRoby
      Mi sto preparando all'abbandono di Infostrada
      dopo che passerà a 28 giorni anche la bolletta
      della sua fibra 50/10 che era tra le più
      convenienti.

      Con la mia vicina, siamo entrambi proprietari
      dell'appartamento ci condividiamo un contratto
      Fastweb 100/30. Basta tirare 3 metri di cavo
      Cat.6 e mettere a muro due prese RJ45. Lei mette
      un cavo Ethernet dal router alla presa ed io in
      casa mi gestisco come voglio il tutto, con uno
      switch ed un access
      point.e il mangling che fara' la tua vicina (sul tuo traffico)?
      • iRoby scrive:
        Re: Mi sto preparando
        Alla mia vicina basta guardare filmati di gattini con l'iPad e a suo marito collegarsi con il sito della scuola dove insegna lettere. E il classico uso di internet da intellettuale.Poi con l'opzione Sky di fastweb si guardano la TV via internet senza parabola.
        • Izio01 scrive:
          Re: Mi sto preparando
          - Scritto da: iRoby
          Alla mia vicina basta guardare filmati di gattini
          con l'iPad e a suo marito collegarsi con il sito
          della scuola dove insegna lettere. E il classico
          uso di internet da intellettuale.
          Sono proprio quelli che poi alla sera si scaricano i filmazzi sadomaso con persone dalla sessualità improbabile, maschere di cuoio e criceti idrofobici!Scherzo, eh :-P
  • Etype scrive:
    Multa ridicola
    Meno di mezzo milione sarebbe la multa ? Ma è uno scherzo ? O_OMa con tutti i clienti che hanno entrambe gli è convenuto comunque fare questa manovra,ci credo che con il passare del tempo ne fanno altre, è come se ad un miliardario facessero una multa da 10 Euro,si mette a ridere.Fagli una multa del doppio di quello hanno guadagnato con questa manovrina con l'obbligo di ritornare alla tariffa precedente per il cliente,se non lo fai ti faccio una multa ancora più pesante ogni 2 settimane se non provvedi.Queste compagnie le devi multare pesantemente altrimenti dopo un pò lo rifaranno di nuovo,alla fine ci guadagnano comunque.
    • ... scrive:
      Re: Multa ridicola
      - Scritto da: Etype
      Queste compagnie le devi multare pesantemente
      altrimenti dopo un pò lo rifaranno di nuovo,alla
      fine ci guadagnano comunque.Vero. Ma il problema delle multe stratosferiche, o che superano abbondantemente i loro guadagni, è che possono essere facilmente contestate e ritorte contro l'ente stesso che le ha emesse.
      • Etype scrive:
        Re: Multa ridicola
        - Scritto da: ...
        Vero. Ma il problema delle multe stratosferiche,
        o che superano abbondantemente i loro guadagni, è
        che possono essere facilmente contestate e
        ritorte contro l'ente stesso che le ha
        emesse.Purtroppo chi dovrebbe vigilare su queste cose da pacche sulla spalla anzichè dire "questa è una manovrà scorretta verso i clienti,non la puoi fare,se procedi avrai grosse conseguenze".In pratica le compagnie si trovano a fare il bello e il cattivo tempo,inoltre fanno anche cartello tra di loro perchè basta che uno propone queste assurdità e nel giro qualche mese le altre si adeguano,quindi comunque la giri il clinete ci rimane fregato.Si deve far valere il contratto tra gestore e cliente, nessuna rimodulazione peggiorativa andrebbe ammessa,non puoi stare sempre alla mercè del fornitore dei servizi.Questi si svegliano un giorno e pensano "come facciamo oggi a guadagnare soldi extra senza fare nulla ? Ah mettiamo in atto questo trucchetto!"Con i comportamenti di uno stato che dorme non fai che incentivare cete furbate.
  • AxAx scrive:
    Mii che multona
    Si stanno facendo addosso. E come se a me facessero una multa da un euro.Al circo ho visto spettacoli dove sono molto più professionali ed almeno fanno ridere i bambini.
    • winmod scrive:
      Re: Mii che multona
      Solo in Italia succededono queste cose, multe da pochi spiccioli (vedi ancheVolkswagen con 5 milioni di multa quando negli altri stati sono miliardi)è una vergogna totale l'antitrast italiano!!!In più non si riesce a capire perchè non annullino quello che hanno combinato e ridiano i soldi indietro ai consumatori (basta offerte per indennizzo, ma il rientro dell'estorto!!!).L'ideale è che si propongano contratti telefonici a tempo (esempio 2 anni)in cui si stabilisca a priori la tariffa fissa e a scadenza propongono un nuovo contratto (non con silenzio assenso), altrimenti cambi gestore (anche qui però problemi di controllo di tariffe manipolate e di incroci tra dati da gestori per emettere contratti peggiorativi).
      • Etype scrive:
        Re: Mii che multona
        Ma tanto anche se cambi gestore è uguale, dopo qualche mese anche lui fa modifiche quindi non hai scampo.
  • Cliente Vodafone scrive:
    vodafone abbonamento
    E la vodafone no?...Avevo notato che quest'anno le date solite sono cambiate per pagare la bolletta......Ma le trovano tutte per spillare soldi extra!!! Poveretti....sono cosi povere le telco????
  • Lorenzo scrive:
    Vodafone
    SMS appena arrivato da vodafone dei due numeri per conoscere il credito 404 e 414 uno sparisce e l'altro si paghera' ... dal cash display a questo ... senza parole .
    • Mao99 scrive:
      Re: Vodafone
      - Scritto da: Lorenzo
      SMS appena arrivato da vodafone dei due numeri
      per conoscere il credito 404 e 414 uno sparisce e
      l'altro si paghera' ... dal cash display a questo
      ... senza parole
      .Già.. ho dovuto metter l'app Voda per non pagare quel messaggio da settembre in poi..
  • prova123 scrive:
    Perchè Vodafone
    non è stata multata er lo stesso motivo? Non se ne sono accorti i clienti di Vodafone o le associazioni dei consumatori?
  • Epoch scrive:
    Pagheranno ma....
    ... la tariffa a 28 giorni resterà, perché non leggo di obbligo a toglierla.Sai quanto ci mettono a rientrare della spesa?
    • bubba scrive:
      Re: Pagheranno ma....
      - Scritto da: Epoch
      ... la tariffa a 28 giorni resterà, perché non
      leggo di obbligo a
      toglierla.
      Sai quanto ci mettono a rientrare della spesa?certamente pochissimo.Poi cmq come mai l'agcm si e' fissata su "offerte ricaricabili con rinnovo automatico"? che per le altre tariffe la modifica creativa del calendario gregoriano ha senso? MAH che mondo :P
Chiudi i commenti