Чип Snapdragon подвержен серьезным уязвимостям

2020-08-08
Исследователи сетевой безопасности обнаружили 6 серьезных потенциальных уязвимостей в чипе Qualcomm Snapdragon, что подвергает опасности многие устройства Android. 
 
 
Кодовые названия этих уязвимостей: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 и CVE-2020-11209. Все они представляют собой DoS-атаки или атаки с повышением привилегий. После успеха злоумышленник может получить полный контроль над целевым устройством.
 
Эти уязвимости скрыты в цифровом сигнальном процессоре Hexagon (далее DSP) в чипе Snapdragon. DSP - важный компонент, отвечающий за управление запросами в реальном времени между пользователями Android и прошивкой процессора Snapdragon, например преобразование голоса, видео и таких сервисов, как GPS-позиционирование, в данные, которые можно использовать для вычислений.
 
Check Point, агентство кибербезопасности, обнаружившее эти уязвимости, заявило в своем блоге, что недостатки в DSP могут использоваться преступниками для сбора пользовательских фотографий, видео, записей и т.д. в реальном времени, определения местоположения по GPS и повреждения целевых устройств. 
 
Злоумышленникам нужно всего лишь побудить пользователей загрузить и запустить вредоносный исполняемый файл, чтобы воспользоваться этими уязвимостями.
 
После успеха злоумышленник может создать постоянное состояние DoS на целевом устройстве, пока устройство не будет восстановлено до заводских настроек; это также может вызвать сбой ядра DSP для перезагрузки телефона. 
 
Check Point заявила, что, поскольку антивирусное программное обеспечение телефона не сканирует набор инструкций Hexagon, преступники могут скрывать вредоносный код в DSP.
 
Check Point сообщала об этих уязвимостях Qualcomm с февраля по март этого года, а Qualcomm уже разработала исправление в июле. Я не знаю, выпустили ли этот патч другие OEM-производители, по крайней мере, Google не сделала этого. Поэтому Check Point не раскрывает конкретных технических деталей этих уязвимостей.
Следите за нами в Telegram, чтобы всегда быть в курсе последних новостей.