Ricercatori dell’ETH Zurich e di università asiatiche rivelano due gravi vulnerabilità che minacciano la sicurezza dei sistemi cloud confidenziali e dei dispositivi Android. La prima, denominata RMPocalypse, colpisce la tecnologia AMD SEV-SNP utilizzata nei data center per proteggere macchine virtuali e dati sensibili. La seconda, chiamata Pixnapping, sfrutta un side-channel GPU per sottrarre informazioni direttamente dallo schermo degli smartphone, senza richiedere permessi speciali. Entrambe le scoperte, presentate alla conferenza CCS 2025, sollevano interrogativi sulla resilienza delle architetture hardware e sulla gestione dei canali laterali in ambienti sempre più digitalizzati.
Cosa leggere
RMPocalypse: vulnerabilità nei cloud confidenziali AMD
Il bug RMPocalypse affligge i processori AMD EPYC di terza generazione che implementano la tecnologia Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP). Questo meccanismo è pensato per isolare e cifrare i dati delle macchine virtuali in esecuzione nei cloud pubblici, impedendo l’accesso a provider o hypervisor. Tuttavia, i ricercatori dell’ETH Zurich hanno individuato un difetto nella Reverse Map Table (RMP), componente che gestisce i permessi di accesso alla memoria durante l’avvio delle VM. Durante la fase di inizializzazione, la RMP rimane temporaneamente esposta, consentendo a un attaccante con accesso limitato al sistema host di manipolare i metadati di protezione, abilitare modalità di debug nascoste, falsificare attestazioni di sicurezza e persino iniettare codice malevolo nei workload virtualizzati. Gli esperimenti condotti su cluster cloud hanno confermato il successo del 100% negli attacchi simulati, dimostrando la possibilità di estrarre dati cifrati o modificare codice in esecuzione. La vulnerabilità, con punteggio CVSS 6.0, è classificata a severità media ma con impatto sistemico elevato, poiché riguarda ambienti che ospitano dati finanziari e sanitari. AMD è stata informata in modo responsabile e ha rilasciato aggiornamenti firmware correttivi già implementati da Microsoft Azure, Google Cloud e AWS. Il team di ricerca ha pubblicato un proof-of-concept per verificare la solidità delle patch e promuovere nuovi standard di auditing hardware. La scoperta di RMPocalypse evidenzia come anche le piattaforme di computing confidenziale, considerate fino a oggi quasi impenetrabili, possano presentare falle nel design microarchitetturale.
Pixnapping: side-channel GPU ruba pixel su Android
Parallelamente, un team di ricercatori ha documentato l’attacco Pixnapping, una vulnerabilità che consente a un’applicazione malevola su Android di ricostruire il contenuto visivo dello schermo, inclusi codici 2FA, messaggi e email, sfruttando il side-channel GPU.zip. L’attacco non richiede permessi speciali nel file manifest, rendendo l’app apparentemente innocua. Operando in background, Pixnapping intercetta operazioni grafiche blur e misura i tempi di rendering VSync per dedurre i colori dei pixel sottostanti. Le informazioni così raccolte vengono poi ricostruite tramite algoritmi OCR per recuperare testo e numeri visualizzati. In test condotti su Pixel 6–9 e Galaxy S25 con Android 13–16, i ricercatori hanno dimostrato la capacità di recuperare codici 2FA di Google Authenticator in meno di 30 secondi, oltre a frammenti di conversazioni da Signal e Gmail. L’attacco, catalogato come CVE-2025-48561, ha ricevuto una valutazione di severità alta da Google.
Una patch parziale distribuita a settembre 2025 ha tentato di limitare l’uso delle API di blur, ma un workaround scoperto a ottobre ha permesso di bypassare la mitigazione. Google e Samsung stanno preparando una correzione definitiva per dicembre 2025, mentre i ricercatori hanno promesso di pubblicare il codice di test solo dopo il rilascio ufficiale delle patch. Pixnapping evidenzia la difficoltà di difendersi da attacchi basati su side-channel hardware, poiché sfruttano comportamenti fisici del chip GPU anziché vulnerabilità software. Gli sviluppatori non possono bloccare direttamente l’exploit, rendendo fondamentali interventi a livello di sistema operativo e driver grafici.
Implicazioni per cloud provider e utenti Android
Le due scoperte mettono in evidenza la fragilità dell’intera catena tecnologica, dal cloud alla sfera mobile. RMPocalypse dimostra che la sicurezza dei dati cifrati nei cloud confidenziali dipende non solo dalla crittografia ma anche dalla robustezza del firmware e della logica hardware. Pixnapping, invece, mostra come le API grafiche esposte possano diventare vettori di esfiltrazione invisibili, con potenziali impatti su applicazioni di autenticazione e finanza mobile. I provider cloud hanno già implementato verifiche di integrità avanzate per le VM protette, mentre Google e Samsung hanno avviato un ciclo accelerato di patching per mitigare gli attacchi side-channel. Gli esperti consigliano agli utenti Android di installare tempestivamente gli aggiornamenti di sicurezza mensili e di adottare autenticatori hardware per ridurre il rischio di intercettazioni. Nel frattempo, la comunità di ricerca e i produttori stanno collaborando per rafforzare le best practice di disclosure responsabile. I risultati di ETH Zurich e del team Pixnapping rappresentano un punto di svolta nella sicurezza informatica contemporanea, spingendo verso una nuova generazione di standard hardware più verificabili e trasparenti.
