Vulnerabilidades detectadas no chip da Qualcomm colocam 40% do SmartPhone em risco
O chip Snapdragon DSP (Digital Signal Processor) baseado em Qualcomm foi encontrado várias vulnerabilidades de segurança que os invasores podem usar para controlar mais de 40% de SmartPhones, monitorar seus usuários e injetar malware que evita a detecção.
Os DSPs são unidades de sistema no chip, usadas para áudio para processamento de sinal e imagem digital e telecomunicações, em eletrônicos de consumo, incluindo TVs e telefones celulares. Esses chips podem ser adicionados a qualquer dispositivo. Infelizmente, eles podem introduzir novos pontos de semana e podem expandir a superfície de ataque dos dispositivos.
Segundo os pesquisadores da Check Point, os vulneráveis chips DSP “podem ser encontrados em quase todos os telefones Android do planeta, incluindo telefones de última geração do Google, Samsung, LG, Xiaomi, OnePlus e mais. No entanto, a linha IPhone SmartPhone da Apple não é afetados pelos problemas de segurança, diz o relatório dos pesquisadores.
O Check Point divulgou suas descobertas à Qualcomm, que as reconhece e notifica os fornecedores de dispositivos e atribui a eles seis CVEs que incluem: CVEs: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207 , CVE-2020-11208 e CVE-2020-11209. De acordo com os pesquisadores, as vulnerabilidades permitem que os invasores:
Transforme o telefone em uma ferramenta de espionagem perfeita, sem a necessidade de interação do usuário. As informações que podem ser extraídas do telefone incluem fotos, vídeos, gravação de chamadas, dados de microfone em tempo real, dados de GPS e localização, etc.,
Torne o telefone móvel constantemente sem resposta. Tornar todas as informações armazenadas neste telefone permanentemente indisponíveis – incluindo fotos, vídeos, detalhes de contato, etc – em outras palavras, um ataque de negação de serviço direcionado,
O uso de malware e outro código malicioso pode ocultar completamente suas atividades e se tornar removível
A Qualcomm corrigiu as seis falhas de segurança encontradas no chip DSP. No entanto, existe ameaça, já que os dispositivos ainda estão vulneráveis a ataques.
Os pesquisadores não publicaram nenhuma informação técnica sobre as vulnerabilidades. Eles disseram no relatório de pesquisa: “No entanto, decidimos publicar este blog para aumentar a conscientização sobre essas questões. Também atualizamos autoridades governamentais relevantes e fornecedores de celulares relevantes com os quais colaboramos nesta pesquisa para ajudá-los a fazer seus aparelhos Os detalhes completos da pesquisa foram revelados a essas partes interessadas “.
O porta-voz da Qualcomm disse: “Fornecer tecnologias que suportem segurança e privacidade robustas é uma prioridade para a Qualcomm. Em relação à vulnerabilidade Qualcomm Compute DSP divulgada pela Check Point, trabalhamos diligentemente para validar o problema e disponibilizar mitigações apropriadas aos OEMs. Não temos evidências de que ele esteja sendo explorado. Incentivamos os usuários finais a atualizar seus dispositivos à medida que os patches se tornarem disponíveis e a instalar apenas aplicativos de locais confiáveis, como a Google Play Store. ”
“Embora a Qualcomm tenha corrigido o problema, infelizmente não é o fim da história. Centenas de milhões de telefones estão expostos a esse risco de segurança. Você pode ser espionado. Você pode perder todos os seus dados. Se tais vulnerabilidades forem encontradas e usadas por agentes mal-intencionados, ele encontrará milhões de usuários de telefones celulares sem quase nenhuma maneira de se proteger por um longo tempo “, disse o chefe de pesquisa cibernética da Check Point, Yaniv Balmas.
Os pesquisadores por trás dessas vulnerabilidades serão apresentados amanhã no DEF CON 2020 pelo pesquisador da Check Point Security, Slava Makkaveev.
“Agora cabe aos fornecedores, como Google, Samsung e Xiaomi, integrar esses patches em todas as suas linhas telefônicas, tanto na fabricação quanto no mercado. Nossas estimativas são de que levará algum tempo para que todos os fornecedores integrem os patches em todos os seus telefones. Portanto, não achamos que publicar os detalhes técnicos com todos seja uma coisa responsável, dado o alto risco de cair em mãos erradas. Por enquanto, os consumidores devem esperar que os fornecedores relevantes também implementem as correções ”.