di Federico Fuga
Giovedì 16 marzo scorso Google Project Zero1, il team di ricerca di vulnerabilità Hardware e Software finanziato da Google, ha reso nota2 la scoperta di 18 vulnerabilità3 di varia natura e varia gravità che affliggono diversi chip Samsung della serie Exynos4 utilizzati in un grandissimo numero di dispositivi mobili personali.
Delle 18 vulnerabilità, alcune sono molto gravi e ottengono uno score5 fino a 9.8 (critical) sulla scala di valutazione 0-10 del NIST6 americano.
La notizia di per sé è passata un po’ sotto silenzio: del resto, non passa giorno in cui una nuova vulnerabilità non sia scoperta e un aggiornamento del software applicato ai nostri dispositivi. In realtà la questione è piuttosto complessa e, purtroppo, irrisolta.
Le vulnerabilità infatti affliggono la parte del firmware dei dispositivi denominata “Baseband”.
I nostri dispositivi mobili, ossia tutti gli smartphone, i tablet con capacità di collegarsi alle reti mobili, auto connesse e più in generale ogni dispositivo intelligente e connesso, sono costituiti da un chip principale che esegue programmi ed applicazioni, interagendo con l’utente attraverso lo schermo, e una serie di circuiti integrati secondari che eseguono compiti relativi all’interazione con le reti radio, siano esse quelle mobili (4G, 5G) reti locali (wifi) o personali (bluetooth). L’interfacciamento con queste reti richiede l’esecuzione di compiti anche complessi al fine di implementare i protocollo di comunicazione. Per questo tali chip sono vere e proprie unità di elaborazione che eseguono software chiamati in gergo “firmware”.
Il firmware per le reti mobili è identificato con il termine “baseband” e il modulo che lo esegue è chiamato “Modem” e può essere un chip esterno a quello principale ma anche integrato direttamente in esso.
Infatti tutti i moderni chip utilizzati nei dispositivi mobili sono “integrati di circuiti integrati”, ossia includono al loro interno diverse unità funzionali che possono essere ricombinate e riutilizzate in chip diversi, come nel caso della serie Exynos di Samsung7. Per questo tali chip sono chiamati “SoC”, System on Chip.
Ora, qual è il problema con le 18 vulnerabilità?
Innanzitutto, come abbiamo detto le baseband sono vere e proprie unità di elaborazione, e come tali sono vulnerabili a bug software che se sfruttati possono portare a diversi esiti, ad esempio il blocco del dispositivo (DoS, Denial of Service), oppure all’esecuzione di codice estraneo (RCE, Remote Code Execution) a scelta dell’attaccante. Il tutto, nel caso delle vulnerabilità in oggetto, senza neppure l’intervento dell’utente, da cui lo score critico attribuito dal NIST.
Essendo la baseband un servizio di sistema, l’esecuzione di codice terzo su di esso potrebbe portare per esempio alla compromissione del dispositivo stesso, con l’installazione di codice sullo smartphone della vittima o con l’intercettazione delle comunicazioni.
Non è la prima volta che vulnerabilità di questo tipo vengono trovate sulla baseband dei SoC, pertanto la notizia non è di per sé clamorosa.
Il problema è che se i produttori di smartphone non brillano particolarmente quanto a velocità nel produrre gli aggiornamenti dei software, i produttori di chip sono anche più lenti con i firmware.
Lo stesso SoC è utilizzato spesso su prodotti diversi, lo stesso firmware o firmware simili possono girare su chip differenti, e ciascuna combinazione richiede la sua versione della correzione; tra i modelli di dispositivo affetti, sono elencati nell’advisory di Project Zero: Samsung S22, M33, A12, A13, A04; Pixel 6 e 7; S15, S16, X70 di Vivo; un imprecisato numero di veicoli che dotati del chipset Exynos Auto T5123; e probabilmente molti altri, anche di altri produttori.
Proprio a causa di questa frammentazione, Google ha ritenuto doveroso estendere il “periodo di grazia” per la pubblicazione dei dettagli di ulteriori mesi, per dare tempo a tutti i produttori di intervenire.
Già nel mese scorso abbiamo parlato del problema della lentezza degli aggiornamenti da parte dei produttori di IoT, questa vicenda dimostra ulteriormente quanto sia indispensabile intervenire sia organizzativamente che, forse, normativamene per migliorare il supporto degli aggiornamenti di sicurezza dei dispositivi elettronici, sia quelli sul mercato, sia per un periodo ragionevole dopo il raggiungimento dell’End of life.
L’elettronica, specie quella di consumo, è parte integrante della nostra vita ed è un punto critico della sfera personale, perché può esser presa di mira per scopi criminali, di spionaggio e di violazione delle libertà, ad esempio come strumento di repressione politica. Pertanto il problema, non essendo adeguatamente affrontato dal mercato, dovrebbe essere oggetto di normazione.
Il problema è sistemico e sempre più urgente.
- https://googleprojectzero.blogspot.com/ ↩︎
- https://googleprojectzero.blogspot.com/2023/03/multiple-internet-to-baseband-remote-rce.html ↩︎
- https://nakedsecurity.sophos.com/2023/03/17/dangerous-android-phone-0-day-bugs-revealed-patch-or-work-around-them-now/ ↩︎
- https://it.wikipedia.org/wiki/Samsung_Exynos ↩︎
- https://nvd.nist.gov/vuln/detail/CVE-2023-24033 ↩︎
- National Institute of Standards and Technology, parte del Dipartimento del Commercio Americano: https://www.nist.gov/ ↩︎
- https://semiconductor.samsung.com/support/quality-support/product-security-updates/ ↩︎
