Más de 400 vulnerabilidades de chips de Qualcomm amenazan …



Los investigadores de seguridad encontraron cientos de piezas de código susceptible en los chips Qualcomm Snapdragon que alimentan los teléfonos Android.

Los investigadores de seguridad han descubierto más de 400 piezas de código vulnerable dentro del chip del procesador de señal electronic (DSP) Qualcomm Snapdragon que alimenta a millones de teléfonos inteligentes de alta gama de Google, Samsung, LG, Xiaomi, OnePlus y otros fabricantes de dispositivos.

El DSP es un sistema en un chip con hardware y software package diseñado para admitir diferentes capacidades de teléfonos inteligentes, como «carga rápida», funciones multimedia como captura de video y Hd, y diferentes funciones de audio. Casi todos los teléfonos inteligentes modernos tienen uno de estos chips.

El chip Snapdragon de Qualcomm se encuentra entre los más comunes en los teléfonos inteligentes Android, señalan los investigadores de Verify Place que encontraron las vulnerabilidades que colectivamente denominaron «Aquiles». Su popularidad es la razón por la que los investigadores decidieron explorarlo, dice el jefe de investigación cibernética Yaniv Balmas.

Se encontraron más de 400 piezas de código vulnerables en el chip DSP que probaron los investigadores. Un atacante podría explotarlos para aprovechar un teléfono inteligente objetivo de varias maneras. Un posible ataque podría implicar convertir el teléfono en una herramienta de espionaje y exfiltrar datos, incluidas fotos, movies, grabación de llamadas, datos del micrófono en tiempo true, GPS y ubicación sin la interacción del usuario.

Alternativamente, un atacante podría aprovechar estas vulnerabilidades para hacer que un teléfono objetivo deje de responder constantemente y garantizar que las fotos, videos, detalles de contacto y otra información almacenada en el teléfono no estén disponibles permanentemente, «en otras palabras, un ataque de denegación de servicio dirigido». escribieron los investigadores de Examine Issue en una publicación de web site sobre sus hallazgos. El malware y otros códigos maliciosos en estos ataques pueden ocultar la actividad de los atacantes y volverse inamovibles, agregaron.

Para ejecutar con éxito cualquiera de estos, un atacante necesitaría crear una aplicación maliciosa y luego convencer al usuario de que la descargue. Sin embargo, el proceso implica múltiples fallas.

«La explotación no es difícil de realizar una vez que se comprende todo el ecosistema, pero se compone de muchas partes móviles: un atacante necesitaría comprender cada una de estas partes en profundidad y encadenar múltiples vulnerabilidades para poder hacer uso de ellas», explica Balmas. . norte

La mayoría de estos problemas se introdujeron durante el tiempo de compilación, agrega, lo que significa que incluso si alguien escribió una aplicación DSP segura, las vulnerabilidades se insertarán cuando un usuario intente compilarla. Check Level retiene todos los detalles técnicos de estas vulnerabilidades hasta que los proveedores móviles creen una solución para mitigar la gama de posibles riesgos, el informe de los investigadores.

Los investigadores compartieron sus hallazgos con Qualcomm, que notificó a los proveedores de dispositivos relevantes y asignó los siguientes CVE: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 y CVE-2020-11209.

Qualcomm respondió a las vulnerabilidades emitiendo un nuevo compilador y un nuevo kit de desarrollo de program, así como otras soluciones, señala Balmas. Pero este no es el remaining: estas vulnerabilidades afectan a millones de teléfonos Android ahora, depende de los fabricantes proporcionar soluciones adicionales y proteger completamente a los usuarios.

«Para los proveedores, significa que deberán volver a compilar todas y cada una de las aplicaciones DSP que utilicen, probarlas y solucionar cualquier problema (que) pueda ocurrir», explica Balmas. «Entonces necesitan enviar estas correcciones a todos los dispositivos del mercado». Esto puede resultar un proceso largo, agrega, y muchos proveedores deberán hacerlo. Se espera que la mitigación overall lleve al menos unos meses, «probablemente muchos más», agrega.

Si bien los chips DSP permiten una mayor funcionalidad en los teléfonos inteligentes modernos, también representan un nuevo vector de ataque móvil. La barrera de entrada es alta para los atacantes, dice Balmas, pero una vez que alguien obtiene el conocimiento relevante, un DSP se convierte en el «objetivo perfecto». A diferencia del sistema operativo principal, no existen soluciones móviles actuales diseñadas para proteger el computer software en chip (SoC).

«Los chips DSP son mucho más vulnerables a los riesgos, ya que se gestionan como &#39cajas negras&#39, ya que puede resultar muy complejo para cualquier persona que no sea su fabricante revisar su diseño, funcionalidad o código», explican los investigadores en su artículo.

En un comunicado, Qualcomm dice que no hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza.

«Con respecto a la vulnerabilidad de Qualcomm Compute DSP revelada por Check out Stage, trabajamos diligentemente para validar el problema y poner las mitigaciones apropiadas a disposición de los OEM», dice un portavoz. Se recomienda a los usuarios que actualicen sus dispositivos a medida que estén disponibles los parches y que solo instalen aplicaciones de ubicaciones confiables como Google Perform Retail outlet.

El investigador de seguridad Slava Makkaveev compartió más sobre la investigación de Achilles en un Charla DEF CON publicado esta semana.

Contenido relacionado:

Kelly Sheridan es la editora de personal de Dim Looking through, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary