Procesory Qualcomm Snapdragon często stawiane są jako wzór, który powinni naśladować inni producenci układów scalonych. Tym razem giganta ze Stanów Zjednoczonych nie ma za co chwalić, bowiem jego platformy mobilne mają całą masę luk w zabezpieczeniach.
Procesory Qualcomm Snapdragon wzięte pod lupę
Check Point Research w badaniu o nazwie „Achilles” dokładnie przeanalizowało chip DSP od Qualcomm Technologies, który powszechnie jest stosowany w platformach mobilnych Snapdragon. Okazało się, że ma on wiele luk w zabezpieczeniach, które mogą zostać wykorzystane do różnych celów.
DSP to jednostka Digital Signal Processor z odpowiednim oprogramowaniem i hardwarem, która odpowiada za wiele różnych procesów, w tym ładowanie wraz szybkim ładowaniem i funkcje związane z audio oraz dotyczące przetwarzania obrazu. Jest więc szalenie ważna, ale Qualcomm niestety nie zadbał o to, aby w parze z ogromną funkcjonalnością szło również bezpieczeństwo.
Procesory Qualcomm Snapdragon mają mnóstwo luk w zabezpieczeniach
Check Point w sprawdzanym DSP do Qualcomma odkryło ponad 400 wrażliwych fragmentów kodu, których wykorzystanie może mieć opłakane skutki.
Wśród zagrożeń badacze wymieniają m.in. możliwość przekształcenia urządzenia w „perfekcyjne narzędzie szpiegowskie” bez jakiekolwiek interakcji ze strony użytkownika – atakujący mogliby wydobyć ze smartfona zdjęcia, filmy i nagrania rozmów, a także przechwycić głos z mikrofonu w czasie rzeczywistym, dane GPS i lokalizację oraz jeszcze wiele innych wrażliwych informacji.
Ponadto, z wykorzystaniem wykrytych przez Check Point luk, atakujący mógłby sprawić, że zaaplikowany, złośliwy kod będzie niemożliwy do wykrycia i usunięcia, a w niektórych przypadkach nawet całkowicie uniemożliwić użytkownikowi korzystanie z urządzenia.
Badacze, w trosce o bezpieczeństwo klientów, nie podają szczegółowych informacji technicznych na temat wykrytych luk w Digital Signal Processor, natomiast przesłali je do producenta, który nadał im następujące oznaczenia CVE: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE- 2020-11208 oraz CVE-2020-11209.
O potencjalnych zagrożeniach powiadomieni zostali również producenci urządzeń, którzy korzystają z procesorów Qualcomm Snapdragon z DSP – a jest ich niemało. Do usunięcia wykrytych luk wystarczy zainstalowanie aktualizacji oprogramowania Digital Signal Processor, którą Amerykanie już wydali w czerwcu 2020 roku, ale trochę potrwa zanim trafi ona do wszystkich użytkowników.