Компания Check Point, специализирующаяся на компьютерной и мобильной безопасности, отчиталась об обнаруженных уязвимостях в платформе Qualcomm Snapdragon. Отчёт получил название «Ахиллесова пята».
Специалисты обнаружили более 400 уязвимостей в DSP (цифровой сигнальный процессор) Qualcomm. Check Point отмечает, что чипы Qualcomm используются в самых разных устройствах, занимающих более 40% современного мобильного рынка, включая флагманские смартфоны Google, Samsung, LG, Xiaomi, OnePlus и многих других.
Обнаруженные уязвимости позволяют превратить смартфон в «идеальный» шпионский инструмент, без необходимости действий со стороны пользователя — информация может быть извлечена со смартфона, включая фото, видео, записи звонков, информацию с микрофона в реальном времени, данные GPS и многое другое.
Также злоумышленники могут сделать всю информацию на смартфоне недоступной на постоянной основе. Можно заблокировать доступ к фото, видео, контактным данным, и так далее. Другими словами, возможна DoS-атака (Denial-of-service attack, отказ в обслуживании). Кроме того, можно полностью скрыть действие вредоносного кода и даже сделать его неудаляемым.
Check Point оповестила Qualcomm о найденных уязвимостях в феврале и та признала их. На данный момент уязвимостям присвоены маркировки CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 и CVE-2020-11209. Производители тоже были поставлены о них в известность.
Qualcomm выпустила исправление в июне, но когда оно доберётся до пользователей смартфонов, зависит от многих факторов и самих производителей устройств. Например, Google «залатала» уязвимости только в конце июля.