Tutti gli utenti con smartphone Android faranno meglio ad assicurarsi che il proprio dispositivo sia aggiornato nel corso delle prossime settimane: i ricercatori informatici di Tencent hanno infatti scovato due pericolose vulnerabilità informatiche che affliggono un buon numero di processori e modem fabbricati dal noto produttore di chip statunitense Qualcomm. La notizia è stata diffusa in queste ore da tutte le parti in causa: Tencent che ha scovato le falle, Qualcomm che ha provveduto a riparare al danno, e Google che diffonderà la patch correttiva attraverso il sistema di aggiornamenti di Android a partire dal prossimo aggiornamento di sicurezza previsto in questi giorni.

Cos'è QualPwn e chi ne è interssato

Le due vulnerabilità sono state battezzate collettivamente QualPwn e potrebbero essere sfruttate da eventuali utenti malintenzionati per prendere il controllo dei dispositivi di vittime collegate alla loro stessa rete WiFi, in modo completamente autonomo; si tratta di bug piuttosto gravi, non solo per quel che permettono di fare ai telefoni presi di mira, ma anche perché coinvolgono alcuni diffusi chip per le comunicazioni wireless e sopratutto numerosi modelli tra alcuni dei più diffusi processori dell'azienda. Tencent ha effettuato prove solamente sugli smartphone Pixel 2 e Pixel 3 prodotti da Google, ma il correttivo rilasciato da Qualcomm riguarda, tra gli altri, anche i SoC delle serie Qualcomm Snapdragon 636, 665, 675, 712, 710, 670, 730, 820, 835, 845, 850, 855, 660, 630 e 660, che sono alla base di più di due generazioni di dispositivi Android di tutte le fasce di prezzo.

E se i gadget più recenti o più costosi sono generalmente coperti dal sistema di aggiornamenti automatico messo in moto periodicamente da Google, i dispositivi più datati o economici non godono dello stesso trattamento e non saranno quindi messi al sicuro. Di buono c'è che l'attacco non è facile da portare a termine, sia perché richiede comunque di essere collegati alla stessa rete WiFi delle potenziali vittime, sia perché i suoi dettagli non sono stati diffusi se non a Qualcomm. Tencent inoltre ha rivelato di aver scoperto la falla in autonomia e di non avere non avere notizia di altri soggetti che ne conoscano il funzionamento, ma la scoperta è comunque destinata a puntare nuovamente i riflettori sul problema degli aggiornamenti di sicurezza dei dispositivi Android, che nonostante gli sforzi di Google sono talmente tanti e variegati da non poter ancora essere tutti protetti al meglio.