Google и други производители на Android телефони се опитват да поддържат хардуерната и софтуерната сигурност с различна степен на интензивност. Но уязвимостта в широко използваните Qualcomm чипове, разкрита от Check Point Research днес, е особено тревожна. Тя теоретично може да позволи на злонамерено приложение да пачне софтуера за MSM чиповете на Qualcomm, като му даде достъп до историята на обажданията и текстовите съобщения или дори възможността да записва разговори.
Разбивката на Check Point по въпроса е изключително техническа. Но за да го кажем на по-достъпен език, бяха открити уязвимости във връзките между софтуерния слой Qualcomm Modem Interface (QMI) на модема и услугата за отстраняване на грешки, което му позволява динамично да закърпва софтуера и да заобикаля обичайните механизми за сигурност. Стандартните приложения на трети страни нямат привилегии за сигурност за достъп до QMI, но ако по-важните аспекти на Android бъдат компрометирани, тази атака може да бъде използвана.
С откритите уязвимости изследователите установиха, че злонамерено приложение може да прослушва и записва активно телефонно обаждане, да получава обаждания и SMS записи или дори да отключва SIM карта. Check Point изчислява, че софтуерът QMI, който е открил като уязвим, присъства в около 40% от смартфоните от доставчици, включително имена като Samsung, Google, LG, OnePlus, Xiaomi и други.
Докато методите за тази атака бяха описани в широк смисъл, конкретната необходима информация беше изключена от доклада, за да се предотврати лесното дублиране на процеса от хакери. Към момента няма индикации, че този метод на атака всъщност се използва „в естествена среда“.
Qualcomm е наясно с този проблем, откакто експертите на CPR са му го разкрили през октомври миналата година, и го потвърди като високооценена уязвимост, предавайки го на свой ред на производителите на Android, които използват неговите модеми. По време на писането на новината уязвимостта още не е отстранена, но вероятно както Qualcomm, така и Google работят върху включването на решение в бъдещ пач по сигурността.
Снимка: Qualcomm
Виж още: Китай проведе лотария за 1.5 млн. долара, за да тества нова цифрова валута