Под угрозой находятся 1,5 миллиарда смартфонов.
Эксперты Check Point выяснили, что недостатки процессоров Snapdragon угрожают безопасности до 1,5 миллиарда пользователей. Чипы Qualcomm используются более чем в 40% смартфонов на Андроид во всем мире. Исследователи говорят о невероятном количестве уязвимостей — более 400. Не так давно мы публиковали рейтинг смартфонов на Snapdragon 845, где представлены модели от Nokia 9 Pureview до HTC U12 Plus.
Qualcomm — американская компания, номер один в области чипов для мобильных устройств. Как по характеристикам, так и по количеству устройств, использующих эти процессоры. Вы найдете их в:
- смартфонах Samsung,
- смартфонах Xiaomi,
- смартфонах LG,
- смартфонах OnePlus,
а также от других производителей .
Но именно на моделях телефонов этих брендов было обнаружено более 400 уязвимостей.
Исследование Check Point
Согласно анализу экспертов Check Point, киберпреступники могут легко установить на устройство с ОС Android и чипом Qualcomm продвинутую шпионскую систему и в дальнейшем украсть данные с гаджета. Проблема затрагивает в общей сложности почти 1,5 миллиарда смартфонов в мире. Сигнальный процессор (DSP) производства Qualcomm несет ответственность за угрозу . Вы можете найти его практически на любом телефоне Android.
DSP (цифровой сигнальный процессор) — это цифровой сигнальный процессор, который специализируется на обработке сигналов, такой как преобразование голоса, видео и сигналов окружающей среды в вычислительные данные в реальном времени. ЦСП предназначены для выполнения математических функций, таких как высокоскоростное сложение и вычитание с минимальным энергопотреблением. Эта технология используется в наушниках, смартфонах, интеллектуальных колонках, студийном аудиооборудовании, автомобильных развлекательных системах и многом другом.
«Ахиллес» от Check Point
Check Point представила результаты работы своей команды в форме анализа под названием «Ахиллес» на конференции DEF CON 2020. Запись также была опубликована в блоге Check Point. Обнаруженные экспертами уязвимости могут привести к следующим сценариям:
- Смартфон умеет шпионить. Злоумышленники могут превратить телефон в идеальный шпионский инструмент без какого-либо взаимодействия с пользователем. Данные, которые могли просочиться с вашего телефона, включают фотографии, видео, записи звонков, данные микрофона в реальном времени, данные о местоположении.
- Телефон может перестать отвечать. Злоумышленники могут использовать уязвимости, чтобы заставить мобильный телефон не отвечать, делая всю информацию, хранящуюся на устройстве, навсегда недоступной, включая фотографии, видео, контактные данные и т. Д.
- Устройство скрывает вредоносную активность. Вредоносные программы и другой вредоносный код могут полностью скрыть хакеров и стать неустранимыми.
Check Point: «Ахиллес», или 1,5 миллиарда смартфонов, имеет уязвимости, которые позволяют шпионить за пользователями.
Чтобы воспользоваться одной из 400 доступных уязвимостей, киберпреступнику нужно только обманом заставить жертву установить приложение, способное использовать эту ошибку. Это даже не потребует никаких разрешений и не будет выглядеть вредоносным. Жертва не будет даже предполагать, что на ее Android смартфоне есть какие-то проблемы. Особенно, если киберпреступники скрывают код в нормально работающем приложении.
Эксперты отмечают, что iPhone не подвержены уязвимостям, описанным в исследовательской публикации.
Таким образом, исследовательская группа Check Point не опубликовала полную техническую информацию об уязвимостях. Поставщики теперь вынуждены исправлять проблемы как можно быстрее, и, возможно, только после исправления ошибок мы узнаем о них больше. Производители смартфонов и программного обеспечения, такие как Google, Samsung и Xiaomi, теперь должны интегрировать исправления во все линейки устройств, как находящихся в производстве, так и уже имеющихся на рынке.
Обнаруженным и подтвержденным Qualcomm уязвимостям присвоены следующие номера CVE: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 и CVE -2020-11209.
— Хотя Qualcomm и решила проблему, к сожалению, это не конец истории. В настоящее время этой опасности подвержены сотни миллионов произведенных телефонов. Мы предполагаем, что на решение этой проблемы уйдут месяцы или даже годы. Если обнаруженные уязвимости будут обнаружены и использованы хакерами, миллионы пользователей по всему миру останутся без надлежащей защиты, сказал Янив Балмас, руководитель отдела кибер-исследований Check Point.
— По нашим оценкам, производителям потребуется некоторое время, чтобы интегрировать исправления во все телефоны. Следовательно, мы считаем, что публикация технических подробностей уязвимости не будет ответственным шагом. На данный момент потребители должны ждать, пока поставщики внедряют исправления. Check Point предлагает защиту от этих уязвимостей с помощью нашего решения для защиты мобильных устройств, — добавляет Янив Балмас.