Lo scorso settembre i ricercatori di Google Project Zero, il team specializzato nella sicurezza sovvenzionato da Google, hanno scoperto una vulnerabilità nelle GPU Adreno, la componente grafica dei SoC Snapdragon di Qualcomm ampiamente utilizzata negli smartphone Android.

Il team di Google Project Zero ha classificato la falla che mette a repentaglio la sicurezza Android con grado di pericolosità grave ma non critico, in quanto non è affatto semplice sfruttarla, tuttavia la faccenda non è stata gestita al meglio dalle due aziende coinvolte.

Project Zero ha scoperto il problema il 15 di settembre e ha informato Qualcomm suggerendo anche alcuni modi per risolvere la vulnerabilità, concedendo a quest’ultima 90 giorni di tempo come da prassi e senza rendere pubblica la questione in quanto la falla non era critica.

Una settimana prima dalla suddetta scadenza, ovvero il 7 di dicembre, Qualcomm ha comunicato a Project Zero che la vulnerabilità CVE-2020-11311 era stata risolta e che la società aveva già distribuito la patch di sicurezza a tutti i produttori di smartphone per distribuirla agli utenti.

Project Zero ha risposto richiedendo a Qualcomm un link della patch informando il produttore di chipset che considerava il problema chiuso e che quindi tutte le informazioni sulla vulnerabilità, inclusi i modi per sfruttarla, sarebbero stati resi pubblici il 14 di dicembre come da prassi.

Qualcomm ha risposto lo stesso giorno con il link alla patch e il 9 di dicembre ha scritto ancora a Project Zero spiegando che i produttori di smartphone avrebbero applicato la correzione con gli aggiornamenti di sicurezza di gennaio tramite Google.

Qualcomm correggere una falla, ma apre una voragine

A questo punto la vicenda sembrava archiviata, ma Google Project Zero, analizzando la patch, ha scoperto che la falla è stata chiusa, ma che allo stesso tempo la correzione ha aperto una voragine che permette l’accesso completo a kernel e privilegi.

Successivamente Google ha comunicato il tutto a Qualcomm chiedendo di non distribuire la patch e Qualcomm ne ha preso atto rispondendo il giorno stesso che l’avrebbe verificata, ma senza chiedere proroghe, pertanto Google Project Zero il 14 di dicembre ha reso pubblica la vulnerabilità e anche le informazioni su come sfruttarla. Resta il fatto che al momento nessuno ha ancora provveduto a chiudere la falla.

Leggi anche: Patch di sicurezza Android: cosa sono e perché sono importanti