Le vulnerabilità rilevate nel chip di Qualcomm mettono a rischio il 40% degli smartphone
Sono state individuate diverse vulnerabilità di sicurezza che gli aggressori potrebbero utilizzare per controllare oltre il 40% degli smartphone, monitorare i propri utenti e iniettare malware che eludono il rilevamento.
I DSP sono unità system-on-chip, utilizzate per l’audio per l’elaborazione di segnali e immagini digitali e per le telecomunicazioni, nell’elettronica di consumo, inclusi televisori e telefoni cellulari. Questi chip possono essere aggiunti a qualsiasi dispositivo. Sfortunatamente, possono introdurre nuovi punti settimanali e possono espandere la superficie di attacco dei dispositivi.
Secondo i ricercatori di Check Point, i chip DSP vulnerabili “si trovano in quasi tutti i telefoni Android del pianeta, compresi i telefoni di fascia alta di Google, Samsung, LG, Xiaomi, OnePlus e altri. Tuttavia, la linea Apple iPhone SmartPhone non è colpiti dai problemi di sicurezza, afferma il rapporto dei ricercatori.
Il Check Point ha divulgato i risultati a Qualcomm che li riconosce e informa i fornitori di dispositivi e ha assegnato loro sei CVE che includono: CVE: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207 , CVE-2020-11208 e CVE-2020-11209. Secondo i ricercatori, le vulnerabilità consentono agli aggressori di:
Trasforma il telefono in un perfetto strumento di spionaggio, senza alcuna interazione da parte dell’utente. Le informazioni che possono essere filtrate dal telefono includono foto, video, registrazione delle chiamate, dati del microfono in tempo reale, GPS e dati sulla posizione, ecc.
Rendere il telefono cellulare costantemente non risponde. Rendere permanentemente non disponibili tutte le informazioni memorizzate su questo telefono, inclusi foto, video, dettagli di contatto e così via, in altre parole, un attacco denial-of-service mirato,
L’uso di malware e altro codice dannoso può nascondere completamente le loro attività e diventare non rimovibili
Qualcomm ha corretto le sei falle di sicurezza trovate sul chip DSP. Tuttavia, la minaccia è presente poiché i dispositivi sono ancora vulnerabili agli attacchi.
I ricercatori non hanno pubblicato alcuna informazione tecnica sulle vulnerabilità. Nel rapporto di ricerca hanno affermato: “Tuttavia, abbiamo deciso di pubblicare questo blog per aumentare la consapevolezza su questi problemi. Abbiamo anche aggiornato i funzionari governativi competenti e i fornitori di dispositivi mobili pertinenti con cui abbiamo collaborato a questa ricerca per aiutarli a realizzare i loro telefoni più sicuro. I dettagli completi della ricerca sono stati rivelati a queste parti interessate “.
Il portavoce di Qualcomm ha dichiarato: “Fornire tecnologie che supportano sicurezza e privacy solide è una priorità per Qualcomm. Per quanto riguarda la vulnerabilità Qualcomm Compute DSP rivelata da Check Point, abbiamo lavorato diligentemente per convalidare il problema e rendere disponibili le opportune attenuazioni agli OEM. Non abbiamo prove che sia attualmente sfruttato. Incoraggiamo gli utenti finali ad aggiornare i propri dispositivi non appena le patch diventano disponibili e a installare applicazioni solo da posizioni attendibili come Google Play Store “.
“Sebbene Qualcomm abbia risolto il problema, purtroppo non è la fine della storia. Centinaia di milioni di telefoni sono esposti a questo rischio per la sicurezza. Puoi essere spiato. Puoi perdere tutti i tuoi dati. Se tali vulnerabilità verranno individuate e utilizzate da malintenzionati, si troveranno milioni di utenti di telefoni cellulari quasi senza modo di proteggersi per molto tempo “, ha affermato Yaniv Balmas, responsabile della ricerca informatica al Check Point.
I ricercatori alla base di queste vulnerabilità saranno presentati domani al DEF CON 2020 dal ricercatore di Check Point Security, Slava Makkaveev.
“Ora spetta ai fornitori, come Google, Samsung e Xiaomi, integrare queste patch nelle loro intere linee telefoniche, sia nella produzione che nel mercato. Le nostre stime sono che ci vorrà un po ‘di tempo prima che tutti i fornitori integrino le patch in tutti i loro telefoni. Pertanto, non riteniamo che pubblicare i dettagli tecnici con tutti sia la cosa responsabile da fare, dato l’elevato rischio che ciò cada nelle mani sbagliate. Per ora, i consumatori devono attendere che anche i fornitori pertinenti implementino le correzioni “.