More

    Falhas no chip Snapdragon colocam mais de 1 bilhão de telefones Android em risco de roubo de dados


    Um bilhão ou mais de dispositivos Android são vulneráveis ​​a hacks que podem transformá-los em ferramentas de espionagem, explorando mais de 400 vulnerabilidades no chip Snapdragon da Qualcomm, relataram os pesquisadores esta semana.

    As vulnerabilidades podem ser exploradas quando um alvo baixa um vídeo ou outro conteúdo renderizado pelo chip. Os alvos também podem ser atacados com a instalação de aplicativos maliciosos que não requerem nenhuma permissão.

    A partir daí, os invasores podem monitorar os locais e ouvir o áudio próximo em tempo real e exfiltrar fotos e vídeos. As explorações também permitem que o telefone pare de responder completamente. As infecções podem ser ocultadas do sistema operacional de uma forma que dificulta a desinfecção.

    Snapdragon é conhecido como um sistema em um chip que fornece uma série de componentes, como uma CPU e um processador gráfico. Uma das funções, conhecida como processamento de sinal digital, ou DSP, atende a uma variedade de tarefas, incluindo capacidades de carregamento e vídeo, áudio, realidade aumentada e outras funções multimídia. Os fabricantes de telefones também podem usar DSPs para executar aplicativos dedicados que permitem recursos personalizados.

    Nova superfície de ataque

    “Embora os chips DSP forneçam uma solução relativamente econômica que permite que os telefones móveis forneçam aos usuários finais mais funcionalidade e habilitem recursos inovadores – eles têm um custo”, escreveram pesquisadores da empresa de segurança Check Point em um breve relatório sobre as vulnerabilidades que descobriram. “Esses chips apresentam uma nova superfície de ataque e pontos fracos para esses dispositivos móveis. Os chips DSP são muito mais vulneráveis ​​aos riscos, pois são gerenciados como ‘caixas pretas’, pois pode ser muito complexo para qualquer pessoa que não seja o fabricante revisar seu design, funcionalidade ou código. ”

    A Qualcomm lançou uma correção para as falhas, mas até agora ela não foi incorporada ao sistema operacional Android ou qualquer dispositivo Android que usa Snapdragon, disse a Check Point. Quando perguntei quando o Google poderia adicionar os patches da Qualcomm, um porta-voz da empresa disse para verificar com a Qualcomm. O fabricante de chips não respondeu a um e-mail perguntando.

    A Check Point está retendo detalhes técnicos sobre as vulnerabilidades e como elas podem ser exploradas até que as correções cheguem aos dispositivos do usuário final. A Check Point apelidou as vulnerabilidades de Aquiles. Os mais de 400 bugs distintos são rastreados como CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 e CVE-2020-11209.

    Em um comunicado, funcionários da Qualcomm disseram: “Em relação à vulnerabilidade do Qualcomm Compute DSP divulgada pela Check Point, trabalhamos diligentemente para validar o problema e disponibilizar as atenuações adequadas aos OEMs. Não temos evidências de que ele esteja sendo explorado. Encorajamos os usuários finais a atualizar seus dispositivos à medida que os patches se tornam disponíveis e a instalar apenas aplicativos de locais confiáveis, como a Google Play Store. ”

    A Check Point disse que o Snapdragon está incluído em cerca de 40% dos telefones em todo o mundo. Com cerca de 3 bilhões de dispositivos Android, isso equivale a mais de um bilhão de telefones. No mercado dos EUA, os Snapdragons são integrados em cerca de 90% dos dispositivos.

    Não há muita orientação útil para fornecer aos usuários a proteção contra esses exploits. Baixar aplicativos apenas do Play pode ajudar, mas o histórico do Google de vetar aplicativos mostra que os conselhos têm eficácia limitada. Também não há como identificar com eficácia o conteúdo de multimídia bloqueado.


    Artigos Recentes

    Dongle do Google Chromecast com vazamentos remotos antes do evento de 30 de setembro

    O Google já nos disse para esperar um novo produto Chromecast em seu evento de 30 de setembro e agora temos nosso melhor...

    Grandes empresas farmacêuticas, incluindo Novartis e Merck, criam uma plataforma de aprendizagem federada para a descoberta de medicamentos

    Em junho passado, 10 grandes empresas farmacêuticas - Amgen, Astellas, AstraZeneca, Bayer, Boehringer Ingelheim, GSK, Institut De Recherches Servier, Janssen, Merck e Novartis...

    Por que as crianças precisam de proteção especial contra a influência da IA

    Vosloo liderou a elaboração de um novo conjunto de diretrizes do Unicef ​​destinadas a ajudar governos e empresas a desenvolver políticas de IA...

    Artigos Relacionados

    DEIXE UMA RESPOSTA

    Por favor digite seu comentário!
    Por favor, digite seu nome aqui