Google ha risolto le vulnerabilità alla crittografia con un anno di ritardo

E’ di qualche giorno fa, la notizia relativa alle vulnerabilità scoperte da Gal Beniamini, relative ai dispositivi equipaggiati da processori Qualcomm. Le vulnerabilità permetterebbero ai malintenzionati di ottenere la chiave per decriptare la memoria interna, ai quali mancherebbe solamente la password, ottenibile tramite il metodo brute forcing.

Una parte di tali vulnerabilità sono state risolte da Google con le patch dei mesi di gennaio e maggio. Tuttavia, pare che il colosso di Mountain View fosse a conoscenza dei problemi di sicurezza già da un anno, rispetto al momento del rilascio degli aggiornamenti.

Qualcomm sostiene di aver avvisato Google delle due vulnerabilità, indicate da CVE-2015-6639 e CVE-2016-2431, nei mesi di febbraio 2015 e novembre 2014. Il ritardo nell’applicazione delle patch di sicurezza da parte dei produttori, potrebbe essere legato al fatto che Android è un sistema operativo open-source e di conseguenza gli aggiornamenti inviati da Google devono essere implementati da un gran numero di produttori sui propri dispositivi che eseguono versioni personalizzate di Android.

E ‘possibile che questi non abbiano applicato le correzioni in maniera celere, e ciò potrebbe essere la ragione per cui Gal Beniamini avrebbe scoperto i difetti dopo alcuni mesi dopo il rilascio delle patch. Un’altra ragione per cui il ricercatore è stato in grado di decifrare il Full Disk Encryption negli smartphone Android, sarebbe riconducibile al fatto che i dispositivi equipaggiati con processori Qualcomm conservano le chiavi di crittografia sul software e non sull’hardware, come fanno, ad esempio, i dispositivi Apple. Le prime possono essere rimosse facilmente con alcuni strumenti, lasciando conseguentemente i dispositivi Android vulnerabili ai malintenzionati.

In ogni caso, rimane ingiustificato il ritardo di Google nel rilascio delle patch. Su questo fatto stanno indagando la Federal Trade Commission e la Federal Communications Commission, sia con l’intenzione di fare chiarezza sulla vicenda, sia per evitare che problemi del genere si ripetano in futuro.