Google Project Zero ha scoperto una falla di sicurezza ad alto rischio nelle GPU Qualcomm Adreno; dal momento che il chipmaker non è stato capace di sviluppare una patch adeguata entro 90 giorni da quando ha ricevuto la notifica privatamente, ora Google ne ha rilasciato pubblicamente i dettagli, seguendo una prassi adottata da molti nel settore per incentivare le aziende responsabili a intervenire con rapidità ed efficacia.

I dettagli tecnici della vulnerabilità possono essere letti seguendo il link FONTE in basso, ma precisiamo subito che è una lettura molto tecnica; l'estrema sintesi della questione è che un errore nel sistema di gestione della condivisione delle mappature di memoria può garantire a un processo figlio i permessi di lettura della memoria allocata da un processo padre senza che quest'ultimo ne sia a conoscenza e senza autorizzazione. Il processo figlio potrebbe in sostanza essere un malware, che potrebbe quindi estrarre dati sensibili all'insaputa dell'utente.

I ricercatori di Project Zero riconoscono che sarebbe un exploit piuttosto complesso da eseguire, soprattutto considerando quanto sia più semplice indurre l'utente a condividere i propri dati personali con l'inganno. Ma una falla va tappata a prescindere, e Qualcomm così ha fatto; il problema è che Google si è accorta che la patch del chipmaker conteneva a sua volta una nuova falla.

Project Zero ha suggerito di sospendere il rilascio della patch e Qualcomm ha detto che investigherà, ma ormai la deadline di tre mesi era scaduta e Google ha pubblicato la propria scoperta, come dicevamo in apertura. È curioso osservare che a quanto pare Qualcomm non ha fatto richiesta di un po' di tempo aggiuntivo, altra pratica standard quando si verificano casi del genere. Ora il chipmaker deve spingere sull'acceleratore prima che qualche hacker trovi un sistema efficace per sfruttare la falla.