Badacze z firmy Check Point odkryli wady w układach Snapdragon.

„Achilles" to nazwa, jaką badacze nadali swojemu odkryciu. W układach Snappdragon firmy Qualcomm znaleźli 400 luk. Problem w tym, że takie chipy DSP znajdują się w 40% wszystkich telefonów z Androidem. Są wbudowane w urządzenia firm Google, Samsung, LG, Xiaomi i OnePlus. Apple ma własne procesory, więc Achilles nie dotyczy iPhone'ów.

Znalezisko Check Pointu oznacza, że ok. miliarda smartfonów może być zagrożonych atakiem hakerów.

Telefony jako narzędzia szpiegowskie

Podczas konferencji DEF CON poświęconej bezpieczeństwu (6–9 sierpnia br.) eksperci z firmy Check Point pokazali, że telefony można przekształcić w narzędzia szpiegowskie. Hakerzy mogą zyskać dostęp do zdjęć, filmów, danych o lokalizacji i innych poufnych informacji, a także śledzić rozmowy telefoniczne. Wystarczy, że przekonają użytkownika do zainstalowania pozornie bezpiecznej aplikacji.

Firma Check Point przekazała już informacje o szczegółach swojego odkrycia firmie Qualcomm i sprzedawcom smartfonów, które mogą być zagrożone. Producent układów Snapdragon już zajmuje się lukami i pracuje nad wydaniem nowego kompilatora i zestawu programistycznego. Jednak za zaimplementowanie poprawek w każdym zagrożonym modelu telefonu odpowiedzialni będą dystrybutorzy.

Atrakcyjne, ale ryzykowne

Jak podaje Check Point w swoim raporcie, układy DSP to ekonomiczne rozwiązanie, dzięki któremu smartfony mają większą funkcjonalność i zawierają ciekawe dla użytkownika funkcje, ale wiążą się one z pewnym ryzykiem. Wprowadzają nowe obszary ataku i mogą być słabym punktem urządzeń mobilnych. Są rodzajem „czarnych skrzynek", różniących się w zależności od ich twórcy. Producenci często nie ujawniają szczegółów konstrukcji swoich układów DSP, co utrudnia ich zbadanie. Zespołowi Check Pointu udało się przełamać ograniczenia i zbadać projekt oraz implementację chipa firmy Qualcomm.

Producent zapewnia, że nie ma dowodów na to, że wykryte luki w zabezpieczeniach są obecnie wykorzystywane. Apeluje jednak do klientów, by aktualizowali poprawki i instalowali aplikacje tylko z zaufanych miejsc, np. sklepu Google Play.

fot. Pixels – Pixabay