Quando viene scoperta una falla di sicurezza in un prodotto, spesso i produttori mantengono il segreto fino a quando non trovano un modo per eliminarla per evitare che i malintenzionati assaltino subito i dispositivi affetti dal problema. È questo il caso della falla di sicurezza dei chipset Qualcomm che è stata scoperta ancora a giugno, ma è stata resa nota solamente oggi: l’azienda infatti si è presa tutti il tempo necessario a progettare un aggiornamento software per risolverla.

Di cosa si tratta? La sicurezza dei dati degli utenti Android di tutto il mondo è stata minata da una falla legata ad una tecnologia basata su ARM TrustZone, la Qualcomm Trusted Execution Envirorment: come si evince al nome il suo scopo è di creare un’area protetta situata nel cuore del SoC e atta a garantire l’integrità di dati sensibili come password e chiavi crittografiche e del codice di basso libello che viene eseguito in modo da scongiurare la possibilità di un attacco di manomissione.

La vulnerabilità nella tecnologia di Qualcomm è stata scovata grazie alla tecnica detta fuzz testing o semplicemente fuzzing, che consiste nell’individuare errori e falle di sicurezza nel software inviando al sistema una serie di dati casuali o “quasi validi” fino a causarne crash o leak di memoria: in questo modo si riescono ad individuare certi casi estremi che non sono stati scovati durante le fasi di test, oppure si possono trovare falle e anomalie sfruttabili da exploit di varia natura come in questo caso.

La falla nella sicurezza della QTEE, se non scoperta e risolta, avrebbe potuto comportare un’enorme pericolo per i dati di centinaia di milioni di utenti Android, ma fortunatamente le principali aziende produttrici di smartphone che utilizzano questa tecnologia hanno già aggiornato i propri dispositivi tramite le patch di sicurezza mensili senza far sospettare nulla. I più grossi produttori ad utilizzare la QTEE col fine di utilizzare i trustlet forniti da terze parti sono Samsung, LG e Motorola: le prime due hanno già risolto il problema di sicurezza, mentre Motorola sta procedendo ora. È rassicurante anche il fatto che non sono noti attacchi ai dispositivi interessati, quindi possiamo proseguire le nostre giornate un po’ più tranquilli.