Una falla nella sicurezza informatica di un software progettato da BlackBerry potrebbe mettere a rischio le auto e le apparecchiature mediche che lo utilizzano ed esporre i sistemi altamente sensibili agli aggressori. A dirlo è Reuters, riportando l’allarme lanciato dall’autorità di regolamentazione farmaceutica e l’agenzia federale degli Stati Uniti che si occupa di cybersecurity.
L’avvertimento è arrivato dopo che la società ha rivelato che il suo Qnx Real Time Operating System (Qnx Rtos) presenta una vulnerabilità che potrebbe consentire a un utente malintenzionato di eseguire un codice arbitrario o inondare un server di traffico fino a quando non si blocca o si paralizza. Il software è utilizzato da case automobilistiche tra cui Volkswagen, Bmw e Ford Motor in molte funzioni critiche, incluso il sistema di assistenza alla guida avanzato.
Le spiegazioni di BlackBerry
BlackBerry aveva inizialmente negato che la vulnerabilità, soprannominata BadAlloc, avesse avuto un impatto sui suoi prodotti e in seguito si fosse rifiutata di fare un annuncio pubblico, ha riferito Politico, citando due persone che hanno familiarità con i colloqui tra l’azienda e i funzionari federali della sicurezza informatica, incluso un dipendente del governo. Ma in seguito il gruppo ha affermato di aver informato i potenziali clienti che sono stati interessati e ha reso disponibili patch software per risolvere la questione.
Il problema, del resto, non riguarda le versioni attuali o recenti di Qnx Rtos, ma piuttosto le versioni risalenti al 2012 e precedenti, ha affermato BlackBerry, aggiungendo che, al momento, nessun cliente ha indicato di essere stato interessato.
I rischi secondo l’agenzia americana
La Cybersecurity and Infrastructure Security Agency (Cisa) degli Stati Uniti ha affermato che il software è utilizzato in un’ampia gamma di prodotti e la sua compromissione “potrebbe portare un malintenzionato a ottenere il controllo di sistemi altamente sensibili, aumentando il rischio per le funzioni critiche della nazione”.
L’agenzia federale che fa capo al Department of Homeland Security e la società hanno dichiarato di non essere ancora a conoscenza di alcun caso di sfruttamento attivo del difetto. Anche la Food and Drug Administration degli Stati Uniti ha affermato di non essere a conoscenza di alcun evento avverso anche se i produttori di apparecchiature mediche valutano quali sistemi potrebbero essere interessati.