Tydzień temu pojawiły się informacje o ponad 400 poważnych lukach w procesorach Snapdragon firmy Qualcomm. Te układy są używane w większości androfonów. Nie dość, że Android nie jest najbezpieczniejszym systemem, to dodatkowe zagrożenie czyha w procesorach.

DSP w Snapdragon z dziurami

Jak informuje Ars Technica, ponad miliard urządzeń z systemem Android jest podatnych na włamania, które mogą zmienić je w narzędzia szpiegowskie, dzięki wykorzystaniu ponad 400. luk w układzie Snapdragon firmy Qualcomm.

Błędy mogą zostać wykorzystane, gdy użytkownik atakowanego urządzenia pobierze film lub inny materiał, który jest renderowany przez układ DSP procesora. Cele mogą być również atakowane poprzez instalację złośliwych aplikacji, nawet jeżeli nie żądają one dodatkowych uprawnień.

Napastnicy mogą monitorować lokalizacje i aktywować mikrofony w czasie rzeczywistym oraz filtrować zdjęcia i filmy. Złośliwe oprogramowanie może być ukryte przed systemem operacyjnym w sposób utrudniający odkrycie ataku.

Jedna z funkcji SoC Snapdragonów, jest cyfrowe przetwarzanie sygnału, czyli DSP. Zajmuje się ono różnymi zadaniami, w tym ładowaniem i obsługą wideo, audio, rzeczywistości rozszerzonej i innych funkcji multimedialnych. To właśnie DSP jest głównym wektorem ataku za pomocą odkrytych przez Check Point luk.

Sytuację pogarsza fakt, że choć Qualcomm opublikował łaty programowe mające uniemożliwić wykorzystanie luk, to Google nie zaimplementował ich jeszcze oficjalnie w wydaniach Androida. Nie uczynili tego również producenci samrtfonów.

Check Point, odkrywca tych podatności nie ujawnia szczegółów technicznych dotyczących luk i sposobu ich wykorzystania do czasu wprowadzenia poprawek do urządzeń użytkownika końcowego. Check Point nazwał luki „Achilles”. Ponad 400 różnych błędów jest śledzonych jako pod kodami CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 i CVE-2020-11209.

W oświadczeniu rzecznik Qualcomm napisał: „W odniesieniu do podatności Qualcomm DSP ujawnionej przez Check Point, pilnie pracowaliśmy nad rozpoznaniem problemu i udostępnieniem odpowiednich środków zaradczych dla producentów OEM. Nie mamy żadnych dowodów na to, że luki są obecnie wykorzystywane. Zachęcamy użytkowników końcowych do aktualizacji swoich urządzeń w miarę udostępniania poprawek i instalowania aplikacji wyłącznie z zaufanych lokalizacji, takich jak Google Play Store”.

Czyli za rok, może 30% urządzeń otrzyma aktualizacje. Używanie androfonów to jednak życie na krawędzi.