Миллионы устройств на Android уязвимы перед возможностью кражи данных при помощи инструментов шпионажа. Они задействуют более 400 уязвимостей в процессорах Qualcomm Snapdragon.
Уязвимости работают, если скачать видео или другой контент, обработкой которого занимается процессор. Также злоумышленники могут использовать установку вредоносных приложений, для работы которых не требуется разрешение. Более того, атакующие могут отслеживать местоположение и в реальном времени слушать звук с микрофона, а также получать доступ к фото и видео. При желании они могут сделать аппарат неработоспособным.
В состав Snapdragon входит цифровой сигнальный процессор (DSP), который занимается обработкой ряда задач. Он отвечает за подзарядку и видео, аудиозапись, дополненную реальность и прочие мультимедийные функции. Исследователи из компании Check Point пишут, что DSP расширяет функциональность устройств, но также расширяет поверхность атаки на них. Их сложность настолько высока, что с дизайном, функциональностью и кодом могут разобраться только производители.
Компания Qualcomm и заинтересованные лица из общественных и правительственных организаций были своевременно уведомлены компанией Check Point. К настоящему дню Qualcomm присвоила шести уязвимостям идентификаторы CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 и CVE-2020-11209 и выпустила патчи, смягчающие данные уязвимости. Всем нам осталось только дождаться, когда производители смартфонов выпустят и разошлют обновления для своих устройств, что может занять определённое время или даже вовсе не произойти, если уязвимый смартфон больше не поддерживается.