Qualcomm: risolve una falla ma apre una voragine.

Il team di ricercatori sovvenzionati da Google ha scoperto una falla nelle gpu Andreno, la componente grafica dei processori snapdragon che sono montati sulla maggior parte dei dispositivi Android.

Stando ad una scala di pericolo a questo problema gli è stato assegnato un grado di pericolosità alto, non è tanto la vulnerabilità ma il modo in cui viene gestita l’intero problema da parte dell’azienda.

Google Project zero ha scoperto il problema il 15 settembre segnalando quest’ultimo a qualcomm e suggerendo alcuni metodi per risolverlo.

Nello stesso giorno l’azienda ha chiesto se avessero intenzione di pubblicare un posto per mettere alla luce gli utenti di questa falla, ma Project zero ha risposto che non l’avrebbero fatto poi che era una vulnerabilità così rilevante da chiedere una così grande visibilità.

In media l’azienda ha 90 giorni di tempo per chiudere la falla altrimenti viene resa nota al pubblico. Ad una settimana dalla scadenza qualcomm ha scritto a Project zero che che la vulnerabilità era stata chiusa e avevano distribuito la patch di sicurezza che doveva essere distribuita agli utenti.

A questo punto proiect zero ha scritto al qualcomm di fornire il link per il download della patch, e di rendere pubblici il 14 dicembre le informazioni sulla Falla esattamente dopo 90 giorni dalla prima segnalazione.

Ma Google analizzando la patch scopre che la falla viene chiusa ma che allo stesso tempo nella correzione viene aperta una voragine che permette l’accesso al kernel e tanti privilegi. Google comunica tutto a qualcomm chiedendo di non distribuire la patch fatta male. Attualmente Google zero ha reso pubblica la falla e anche le informazioni su come sfruttarla, un enorme problema che in questo momento non è stato ancora risolto.