Smartfóny postavené na procesoroch Qualcomm sú v ohrození. Prítomné sú v nich priam stovky možných zraniteľností. Vo svojej správe o záveroch bezpečnostnej analýzy na to upozorňuje spoločnosť Check Point Research.
Vzhľadom na to, že ohrozená môže byť obrovská časť mobilného trhu, vrátane prominentných modelov značiek Google, Samsung, LG, Xiaomi, OnePlus, presné technické podrobnosti nateraz zostávajú verejnosti neprístupné.
Základy, ktoré nám stačia, sú známe a výrobcovia smartfónov majú k dispozícii všetky detaily, aby mohli diery opravovať. Čipy od Qualcommu nájdeme v zariadeniach, ktoré spolu tvoria viac ako 40% celkového mobilného trhu. Preto výrobcovia situáciu berú veľmi vážne.
Viac ako 400 zraniteľností
Problémom sa ukázal byť čip Digital Signal Processor, ktorý je súčasťou procesorov od Qualcommu a slúži na zefektívnenie spracovania vymedzených dát ako je audio, video, dáta zo senzorov, ale aj kopa dodatočných vecí. Napríklad umožňuje používanie funkcií pre rýchle nabíjanie a pomáha aj s výpočtami v oblasti strojového učenia.
Možnú vstupnú bránu pre útočníkov predstavuje niečo cez 400 identifikovaných zraniteľností. Zneužiť sa dajú skutočne širokospektrálne. Útočníci dokážu získať prístup k obrazovým, kompletným zvukovým a lokalizačným dátam, čím sa zo smartfónu stáva dokonalý nástroj pre rozsiahle sledovanie používateľa.
Okrem toho je vďaka prístupu na pomerne nízkej hierarchickej úrovni možné prakticky kompletne zamaskovať rôzne škodlivé kódy pre vykonávanie činností od výmyslu sveta. Ich aktivity by bolo nemožné odhaliť a rovnako tak, by bolo veľmi komplikované ich odstránenie.
Zraniteľnosti by sa taktiež dali využiť na deštruktívnu činnosť. Check Point Research uvádza, že by napríklad bolo možné zabrániť akémukoľvek prístupu k uloženým dátam. Smartfón by jednoducho sa stal nepoužiteľným.
Vina padá na softvér
V tomto konkrétnom prípade vina padá na vývojársky softvér, takzvaný SDK. Verzia vytvorená pre Digital Signal Processor od Qualcommu totiž produkovala kód plný bezpečnostných nedostatkov. Aktuálne má byť dostupná opravená verzia, no vývojári teraz musia svoje projekty pripraviť nanovo – prekompilovať.
Zatiaľ nie je známe, koľkých smartfónov sa zraniteľnosti reálne týkajú. Nevieme ani to, kedy budú pre koncového používateľa dostupné opravy.
Qualcomm v oficiálnom vyjadrení uvádza, že momentálne nemá žiadne znalosti o tom, že by dochádzalo k útokom či iným záškodníckym operáciám s využívaním týchto zraniteľností. Výrobcom sprístupnil všetko potrebné pre vykonanie nápravy a Opravené aktualizácie sú na ceste.
K útokom podľa dostupných informácií môže dochádzať cez špeciálne upravené aplikácie. Qualcomm preto odporúča, aby majitelia smartfónov na inštaláciu používali len oficiálne obchody ako Google Play. Zároveň pripomína dôležitosť pravidelnej inštalácie aktualizácií od výrobcu.
