UNISOC: Tra Innovazione e Rischi di Sicurezza nei SoC, Scoperte Vulnerabilità Critiche
UNISOC: Dalle Challenge della Logistica alla Sicurezza dei SoC
Il nome UNISOC è diventato familiare nel panorama europeo durante la crisi delle catene di fornitura di semiconduttori, un periodo in cui la carenza di prodotti da parte di giganti come Qualcomm e MediaTek ha spinto vari brand verso l’adozione di processori del colosso cinese, principalmente per smartphone e tablet di fascia entry-level.
Vulnerabilità nei SoC di UNISOC Scoperte dagli Esperti di Kaspersky
UNISOC non solo spicca nei mercati emergenti come Asia, Africa e America Latina, ma espande il proprio impiego anche nei veicoli connessi e nei sistemi di telecomunicazione a livello globale. Recenti scoperte da parte del team di Kaspersky ICS CERT hanno però sollevato preoccupazioni: sono state identificate vulnerabilità critiche nei Systems-on-Chip (SoC) di UNISOC che potenzialmente permetterebbero accessi remoti non autorizzati tramite le comunicazioni tra modem e processore applicativo.
Durante il Security Analyst Summit tenutosi a Bali, sono state rivelate le vulnerabilità CVE-2024-39432 e CVE-2024-39431, entrambe classificate come estremamente pericolose e capaci di inficiare diversi SoC UNISOC, esponendo cosi a rischi numerosi dispositivi.
La ricerca conduotta ha evidenziato che un attaccante potrebbe facilmente aggirare i meccanismi di sicurezza del sistema operativo, accedere al kernel, eseguire codice indesiderato con privilegi elevati e manipolare i file di sistema. Il team ha investigato diversi vettori di attacco, inclusi quelli che sfruttano le funzionalità di Direct Memory Access (DMA) del dispositivo, cruciali per il trasferimento dei dati, eludendo protezioni fondamentali come la Memory Protection Unit (MPU).
L’estesa diffusione dei chipset UNISOC aumenta notevolmente il rischio potenziale di queste vulnerabilità, influenzando sia il settore dei consumatori che quello industriale. L’eventualità di esecuzione di codice remoto in ambiti sensibili, quali l’automotive o le telecomunicazioni, potrebbe avere serie ripercussioni sulla sicurezza e l’efficienza operativa.
“La sicurezza dei SoC risulta essere un tema delicato, che impone un attento esame dei principi di design del chip e dell’architettura del prodotto nel suo complesso,” ha commentato Evgeny Goncharov, responsabile di Kaspersky ICS CERT. “Molti produttori di chip preferiscono mantenere riservatezza sui processi interni per salvaguardare la proprietà intellettuale. Sebbene questa scelta sia comprensibile, può causare l’inclusione di funzionalità hardware e firmware non documentate, complicando la gestione al livello software. La nostra ricerca evidenzia la necessità di una collaborazione maggiormente integrata tra i fabbricanti di chip, gli sviluppatori di prodotti e la comunità di esperti di cybersecurity, al fine di identificare e attenuare i rischi emergenti.”
Felice nota finale, UNISOC ha risposto velocemente alla segnalazione delle vulnerabilità, sviluppando e rilasciando tempestivamente le patch necessarie per mitigare i problemi. Tale prontezza sottolinea una dedizione alla riduzione dei rischi e al mantenimento della sicurezza nei loro prodotti. Resta tuttavia essenziale l’aggiornamento costante dei dispositivi da parte degli utenti per garantire la sicurezza, prevenendo possibili esposizioni derivanti da dispositivi non aggiornati.
Dato l’importante ruolo di UNISOC nel mercato globale dei semiconduttori e la crescente interconnessione dei dispositivi, la sicurezza dei SoC si profila come una priorità non soltanto tecnologica ma anche strategica. Comprenderne le sfide e le possibili soluzioni è fondamentale per anticipare e gestire i rischi in un mondo sempre più digitale e connesso. La strenua attività di ricerca e sviluppo di soluzioni correttive da parte di aziende come UNISOC rappresenta un forte segno di impegno verso un futuro tecnologico più sicuro per tutti.
Cyber Net Now
Cyber Net Now è una rete di professionisti che volontariamente apportano il loro contributo alla divulgazione di notizie e tematiche del mondo della cybersecurity, della sicurezza informatica e della tecnologia, specialmente in Italia.