Nu există nicio informație despre momentul în care Google și producătorii de telefoane vor încorpora soluțiile venite de la Qualcomm.
Cercetătorii au raportat că un miliard de dispozitive Android sunt vulnerabile la hack-uri care le pot transforma în instrumente de spionaj, exploatând peste 400 de vulnerabilități din cip-ul Snapdragon de la Qualcomm.
Vulnerabilitățile pot fi exploatate atunci când un utilizator descarcă un videoclip sau alt conținut, ce necesită acțiuni prestate de cip. De asemenea, dispozitivele pot fi vulnerabile și atunci când utilizatorii instalează aplicații rău intenționate, care nu necesită deloc permisiuni.
Atacatorii pot monitoriza locațiile, pot asculta convorbirile în timp real și pot obține fotografii și videoclipuri. De asemenea, exploatările fac posibil ca telefonul să nu răspundă complet anumitor funcții. Virușii pot fi ascunși în sistemul de operare, într-un mod în care face dificilă ștergerea lor.
Snapdragon este cunoscut ca un sistem pe un cip, care oferă o serie de componente, cum ar fi: un procesor simplu și unul grafic. Una dintre funcții, cunoscută sub numele de procesare digitală a semnalului, sau DSP, abordează o varietate de sarcini ce includ abilități de încărcare, video, audio, realitate augmentată și alte funcții multimedia. Totodată, producătorii de telefoane pot utiliza DSP-uri pentru a rula aplicații dedicate, care permit funcții personalizate.
„În timp ce cipurile DSP oferă o soluție relativ economică, care permite telefoanelor mobile să le ofere utilizatorilor mai multă funcționalitate și funcții inovatoare, toate acestea având un cost”, au scris cercetătorii firmei de securitate Check Point, într-un raport scurt despre vulnerabilitățile pe care le-au descoperit.
„Aceste cipuri introduc noi suprafețe de atac și puncte slabe pentru aceste dispozitive mobile. Cipurile DSP sunt mult mai vulnerabile la riscuri, deoarece sunt administrate ca și „Cutia Neagră”, fiind mult mai complexe pentru a permite oricui, decât producătorului lor, să-și revizuiască designul, funcționalitatea sau codul.”
„Qualcomm a venit cu o soluție pentru defectele apărute, dar până în prezent nu a fost încorporat în sistemul de operare Android și în niciun dispozitiv Android care folosește Snapdragon”, a declarat reprezentanții Check Point. Compania Google a fost întrebată când vor introduce soluțiile Qualcomm, iar un purtător de cuvânt al companiei a spus că totul depinde de compania producătoare de cipuri, însă, aceștia nu au răspuns la e-mail.
Check Point păstrează detalii tehnice despre vulnerabilități și despre modul în care acestea pot fi exploatate, până când remedierile vor apărea pe dispozitivele utilizatorilor. Check Point a poreclit aceste vulnerabilități „Achilles”. Mai mult de 400 vulnerabilități distincte sunt urmărite ca CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 și CVE-2020-11209.
Într-o declarație, oficialii Qualcomm au afirmat că: „În ceea ce privește vulnerabilitatea Qualcomm Compute DSP, dezvăluită de Check Point, am lucrat cu străduință pentru a rezolva problema și a pune la dispoziție OEM-urile adecvate. Nu avem dovezi că în prezent este exploatat. Încurajăm utilizatorii să își actualizeze dispozitivele, deoarece soluțiile sunt disponibile și că ar trebuisă instaleze aplicații numai din locații de încredere, cum ar fi Magazinul Google Play”.
Reprezentanții Check Point au spus că Snapdragon deține aproximativ 40% dintre telefoanele din întreaga lume. Cu aproximativ 3 miliarde de dispozitive Android, aceasta se ridică la peste un miliard de telefoane. Pe piața americană, Snapdragon este încorporat în aproximativ 90% dintre dispozitive.
Nu există prea multe îndrumări utile oferite utilizatorilor cu privire la protejarea împotriva acestor exploatări. Descărcarea aplicațiilor numai de pe Play poate fi utilă, dar evidența Google privind verificarea aplicațiilor arată că sfaturile au o eficacitate limitată. De asemenea, nu există nicio modalitate de a identifica, în mod eficient, conținutul multimedia captivant.
