È stata scoperta recentemente una grave falla di sicurezza nel sistema di comunicazione mobile che potrebbe interessare tutti i sistemi di telecomunicazione del mondo. In pratica il bug è in una libreria di codice che viene impiegato dai ripetitori cellulari, dai router, dagli switch, dalle baseband dei telefoni e su molti altri apparecchi per poter implementare uno standard telefonico chiamato ASN1.
Secondo coloro che hanno scoperto la vulnerabilità tramite questo bug si potrebbe sfruttare l’exploit, anche se questo risulterebbe davvero molto difficile e richiederebbe grandi risorse e capacità tecniche, ma nel caso ci si riuscisse allora potrebbe eseguire da remoto un codice malevolo virtuale su qualsiasi dispositivo al mondo.
I ricercatori spiegano che questa vulnerabilità potrebbe essere attivata da remoto senza alcuna autenticazione, in casi in cui il codice vulnerabile riceva e processi dati ASN1 da sorgenti non sicure. Tra questi scenari ci possono essere comunicazioni tra dispositivi mobile e infrastrutture di telecomunicazione, tra nodi nella rete di un carrier, o tra endpoint non sicuri in un data network.
Secondo diversi esperti di sicurezza il problema è serio, non solo per il grande numero di dispositivi colpiti, ma perché un hack della baseband di un telefono lo può compromettere completamente, a prescindere dalle patch di sicurezza o dalla crittografia. Inoltre, potrebbe essere (relativamente) più semplice eseguire attacchi meno invasivi e dannosi per i dispositivi colpiti, ma comunque in grado di creare disservizi e malfunzionamenti nella rete (quindi dei DDoS invece che dei code-execution).
Per ora la vulnerabilità è stata riscontrata solo sui dispositivi Qualcomm, ma si stanno effettuando delle verifiche anche su tutte le altre apparecchiature degli altri produttori, in modo tale da sapere su quali prodotti intervenire. L’azienda che sviluppa ASN1, la Objective System, ha già rilasciato un hotfix per correggere la vulnerabilità, ma per installarla nelle infrastrutture sarà estremamente complicato e richiederà davvero molto molto tempo e lavoro.
Comunque se ci saranno ulteriori e nuovi sviluppi vi aggiorneremo immediatamente sulla situazione.
