Nei giorni scorsi, precisamente nella giornata di lunedì, è arrivata la conferma da parte di Qualcomm che una vulnerabilità cosidetta zero-day — la definizione si applica a quelle falle di sicurezza sconosciute al produttore al momento dell’exploit — di alcuni suoi chip anche molto popolari sugli smartphone Android è stata concretamente sfruttata da hacker non meglio precisati.

Una vulnerabilità sfruttata per bersagli mirati

In via ufficiale, la vulnerabilità in questione viene identificata come CVE-2024-43047 e Qualcomm parla di un possibile “sfruttamento limitato e mirato”, facendo riferimento ad indicazioni non meglio specificate del Threat Analysis Group di Google, vale a dire l’unità che in seno a Big G si occupa di indagare potenziali minacce alla sicurezza. Il chipmaker californiano riporta che il risultato delle indagini di Google è stato confermato anche dal Security Lab di Amnesty International, che lavora per proteggere la società civile dalla sorveglianza digitale e dalle minacce spyware.

La vulnerabilità dei chip di Qualcomm è stata altresì inserita dalla CISA — agenzia per la cybersicurezza degli Stati Uniti — nella lista di quelle concretamente sfruttate in danno di potenziali utenti.

È bene ricordare come allo stato attuale i dettagli sull’accaduto siano ancora pochi: non è dato sapere chi abbia sfruttato la vulnerabilità, né quali/quanti utenti siano stati presi di mira o le conseguenze concrete dello sfruttamento della vulnerabilità in discorso. Ad ogni modo, basta consultare il bollettino ufficiale di Qualcomm per scoprire come la lista dei chip affetti da questa vulnerabilità comprenda ben 64 modelli, tra i quali figurano anche nomi altisonanti come quello dello Snapdragon 8 (Gen 1), cuore di tantissimi top di gamma Android di un paio di generazioni addietro.

La posizione di Qualcomm e il silenzio di Google

La portavoce di Qualcomm Catherine Baker ha risposto alle domande dei colleghi di TechCrunch, lodando i ricercatori di “Google Project Zero e Amnesty International Security Lab per aver utilizzato pratiche di divulgazione coordinate”, consentendo al produttore di intervenire subito con le necessarie contromisure.

Il chipmaker ha lasciato proprio a Google ed Amnesty il compito di fornire maggiori dettagli sulla vulnerabilità e sul suo sfruttamento. A tal proposito, la portavoce di Amnesty Hajira Maryam ha confermato che maggiori informazioni verranno rese pubbliche a stretto giro. Di contro, per adesso Google ha scelto di non fornire commenti sulla vicenda.

Da parte sua, Qualcomm ha confermato che i fix necessari sono stati resi disponibili per i clienti — vale a dire gli OEM Android — già a settembre 2024, dunque adesso la palla passa a Google e a tutti gli altri produttori per il rilascio delle apposite patch di sicurezza.