Las vulnerabilidades detectadas en el chip de Qualcomm ponen en riesgo el 40% de los teléfonos inteligentes
Se han encontrado varias vulnerabilidades de seguridad que los atacantes podrían usar para controlar más del 40% de los SmartPhones, monitorear a sus usuarios e inyectar malware que evade la detección con el chip Snapdragon DSP (Procesador de señal digital) basado en Qualcomm.
Los DSP son unidades de sistema en chip, que se utilizan para audio para procesamiento de señales e imágenes digitales y telecomunicaciones, en productos electrónicos de consumo, incluidos televisores y teléfonos móviles. Estos chips se pueden agregar a cualquier dispositivo. Desafortunadamente, pueden introducir nuevos puntos semanales y ampliar la superficie de ataque de los dispositivos.
Según los investigadores de Check Point, los chips DSP vulnerables “se pueden encontrar en casi todos los teléfonos Android del planeta, incluidos los teléfonos de gama alta de Google, Samsung, LG, Xiaomi, OnePlus y más. Sin embargo, la línea de teléfonos inteligentes IPhone de Apple no es afectados por los problemas de seguridad, según el informe de los investigadores.
Check Point reveló sus hallazgos a Qualcomm, quien los reconoce y notifica a los proveedores de dispositivos y les asigna seis CVE que incluyen: CVE: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207 , CVE-2020-11208 y CVE-2020-11209. Según los investigadores, las vulnerabilidades permiten a los atacantes:
Convierta el teléfono en una herramienta de espionaje perfecta, sin necesidad de interacción del usuario. La información que se puede filtrar desde el teléfono incluye fotos, videos, grabación de llamadas, datos del micrófono en tiempo real, GPS y datos de ubicación, etc.
Haga que el teléfono móvil no responda constantemente. Hacer que toda la información almacenada en este teléfono no esté disponible permanentemente, incluidas fotos, videos, detalles de contacto, etc., en otras palabras, un ataque de denegación de servicio dirigido,
El uso de malware y otro código malicioso puede ocultar completamente sus actividades y volverse inamovibles
Qualcomm ha parcheado las seis fallas de seguridad encontradas en el chip DSP. Sin embargo, existe una amenaza ya que los dispositivos aún son vulnerables a los ataques.
Los investigadores no publicaron ninguna información técnica sobre las vulnerabilidades. En el informe de investigación, dijeron: “Sin embargo, decidimos publicar este blog para crear conciencia sobre estos problemas. También hemos actualizado a los funcionarios gubernamentales relevantes y a los proveedores de dispositivos móviles relevantes con los que hemos colaborado en esta investigación para ayudarlos a fabricar sus teléfonos más seguro. Los detalles completos de la investigación se revelaron a estas partes interesadas “.
El portavoz de Qualcomm dijo: “Proporcionar tecnologías que respalden una seguridad y privacidad sólidas es una prioridad para Qualcomm. Con respecto a la vulnerabilidad de Qualcomm Compute DSP revelada por Check Point, trabajamos diligentemente para validar el problema y poner las mitigaciones adecuadas a disposición de los OEM. No tenemos evidencia de que esté siendo explotado actualmente. Recomendamos a los usuarios finales que actualicen sus dispositivos a medida que estén disponibles los parches y que solo instalen aplicaciones de ubicaciones confiables como Google Play Store “.
“Aunque Qualcomm ha solucionado el problema, lamentablemente no es el final de la historia. Cientos de millones de teléfonos están expuestos a este riesgo de seguridad. Puedes ser espiado. Puede perder todos sus datos. Si tales vulnerabilidades serán encontradas y utilizadas por actores maliciosos, encontrará millones de usuarios de teléfonos móviles con casi ninguna forma de protegerse durante mucho tiempo “, dijo el Jefe de Investigación Cibernética en Check Point, Yaniv Balmas.
Los investigadores detrás de estas vulnerabilidades serán presentados mañana en DEF CON 2020 por el investigador de Check Point Security, Slava Makkaveev.
“Ahora corresponde a los proveedores, como Google, Samsung y Xiaomi, integrar esos parches en todas sus líneas telefónicas, tanto en la fabricación como en el mercado. Nuestras estimaciones son que a todos los proveedores les llevará un tiempo integrar los parches en todos sus teléfonos. Por lo tanto, no creemos que publicar los detalles técnicos con todos sea lo más responsable dado el alto riesgo de que esto caiga en las manos equivocadas. Por ahora, los consumidores deben esperar a que los proveedores relevantes también implementen las correcciones “.