Спецпроекты

Половина смартфонов в мире полностью беззащитна всего из-за одного чипа Qualcomm

Безопасность Пользователю Интеграция Электроника Техника Мобильность

Проблема, затрагивающая смартфоны под Android, связана с большим количеством уязвимостей в DSP-процессоре Qualcomm. Угроза настолько велика, что обнаружившие ее эксперты, предпочитают не разглашать технические подробности.

Угроза для 40% смартфонов

Немногим менее половины всех смартфонов в мире содержат уязвимости, источником которых является DSP-процессор Qualcomm.

DSP (сокращение от Digital Signal Processor, процессор цифрового сигнала) — это система для обработки аудиосигналов, цифровых изображений и обеспечения связи в потребительской электронике, в том числе смартфонах и цифровых smart-телевизорах.

Как пишут эксперты CheckPoint, обнаружившие серию уязвимостей, проблемный DSP Qualcomm присутствует «практически во всех смартфонах на базе Android на планете, включая дорогостоящие устройства Google, Samsung, LG, Xiaomi, OnePlus и т. д.».

Технические детали уязвимостей специалисты CheckPoint пока раскрыли только самому Qualcomm, а также госорганам (по-видимому, США) и производителям конечных устройств. Qualcomm подтвердил наличие проблем и присвоил им сразу шесть CVE-индексов: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 и CVE-2020-11209. В сообщении CheckPoint, однако, указывается, что было найдено не менее 400 уязвимостей в DSP-чипах Qualcomm. Эксперты присвоили им кумулятивное наименование Achilles («Ахилес»).

chip600.jpg
Около 40% смартфонов в мире содержат критические уязвимости из-за одного чипа

Согласно публично опубликованной информации, злоумышленники могут использовать уязвимости для превращения смартфона в «идеальное шпионское устройство без какого-либо участия со стороны пользователя». Со смартфона можно красть фотографии, видеоролики, телефонные вызовы, перехватывать звук с микрофона, а также выводить геоданные.

Кроме того, смартфон можно перманентно вывести из строя или сделать хранящуюся в нем информации полностью недоступной. Вдобавок с помощью этих уязвимостей можно скрыть и сделать неудаляемым любой вредоносный программный код.

Без подробностей

«Если читать между строк, то речь идёт об абсолютно критических, чтобы не сказать, катастрофических изъянах в схемотехнике Qualcomm, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — С подобными уязвимостями можно сделать с чужим аппаратом всё, что угодно. Другое дело, что в сообщении CheckPoint не указывается, насколько легко или сложно эксплуатировать данные проблемы. А критичность проблемы напрямую зависит от этого».

Qualcomm уже выпустил исправления, однако, их внедрение в конечные устройства займет время, причем, скорее всего, весьма длительное. Многим производителям конечных устройств еще только предстоит распространить их по своим клиентам.

Со своей стороны Qualcomm настоятельно рекомендует пользователям установить обновления против выявленных уязвимостей сразу же после их выхода, а также никогда не устанавливать никаких приложений из неофициальных источников.

Представители CheckPoint 13 августа 2020 г. планируют провести два вебинара, посвященных выявленным уязвимостям, а кроме того, доклад об Achilles будет представлен на ближайшей виртуальной конференции DEFCON.