W chipach Snapdragona wykryto ponad 400 luk w zabezpieczeniach. W niebezpieczeństwie znalazł się ponad miliard urządzeń opartych o procesory tego producenta. Cybeprzestępcy mogą z łatwością stworzyć i wstrzyknąć exploity, które umożliwiają wgląd w dane o lokalizacji, przechwytywanie danych użytkownika oraz wykorzystanie mikrofonu.

Szkodliwe oprogramowanie może zostać wstrzyknięte przy procedurze renderowania treści pokroju wideo, audio czy rozszerzonej rzeczywistości. Podatny na zagrożenia jest również proces szybkiego ładowania. Hakerzy mogą dzięki temu zaszczepić eksploity bezpośrednio w obszarze systemu operacyjnego, co praktycznie uniemożliwia ich łatwe usunięcie.

Sytuacja jest naprawdę poważna, zwłaszcza jeśli spojrzymy na poczynania Qualcomm w zakresie załatania luk. Badacze Check Point poinformowali o lukach producenta układów (dokładne numery CVE to CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207 , CVE-2020-11208 i CVE-2020-11209). Szczegółowe informacje nie zostały przekazane do wiadomości publicznej. Nie wiemy zatem, jakie konkretnie procesory są podatne na zagrożenia oraz o jakiej skali tak naprawdę mówimy.

 

Qualcomm wydał już poprawkę zabezpieczającą, lecz na ten moment nie została ona dostarczona do jakiegokolwiek urządzenia z Androidem jako aktualizacja oprogramowania. Nie ma póki co informacji ani od Google, ani od Qualcomma, kiedy można liczyć na wypuszczenie łatki. Ilość urządzeń jest kolosalna, więc proces wdrażania aktualizacji może trwać długo.

Koncern poinformował również, że na ten moment nie zanotowano przypadku wykorzystania luk w zabezpieczeniach. Firma zaleca jednak instalowanie aplikacji z zaufanych źródeł, takich jak chociażby Google Play Store. Niestety i tutaj warto uważać, albowiem w historii mieliśmy już kilka przypadków instalowania malware przez aplikacje z oficjalnego sklepu Androida.

Qualcomm ma problemy. Nie wiemy póki co jak aktualizacje wpłyną na wydajność urządzeń oraz kiedy konkretnie będą dostępne. Pozostaje nam uzbroić się w cierpliwość i liczyć na to, że nikt nie wykorzysta luk znalezionych przez Check Point.

 

źródło: Ars Technica