V čipech Qualcomm je vážná bezpečnostní díra. Ohrožuje třetinu smartphonů

V čipech Qualcomm je vážná bezpečnostní díra. Ohrožuje třetinu smartphonů

Bezpečnostní experti z Check Point Research informovali o vážné zranitelnosti v čipech Qualcomm Snapdragon. Objevený bezpečnostní problém vytváří potenciální zadní vrátka do třetiny všech mobilních telefonů na světě, včetně zařízení s Androidem od společností Samsung, LG, Google, OnePlus, Xiaomi a mnoha dalších.

Modemy v těchto čipech jsou zranitelné, což útočníkům umožňuje mimo jiné odemknout SIM kartu a odposlouchávat hovory. Chyba se týká stovek milionů telefonů, včetně nejnovějších vlajkových lodí s procesory Snapdragon 888 a Snapdragon 870. Vzhledem k tomu, jak v ekosystému Android fungují aktualizace, bude nějakou dobu trvat, než se oprava dostane do všech postižených zařízení.

Kde nechal tesař díru?

Dle zprávy Check Point Research bylo v loňském roce nalezeno zhruba 400 zranitelností v subsystému digitálního signálového procesoru (DSP) v čipech Snapdragon, které byly nakonec opraveny v listopadu 2020. Výzkumníci se pak podrobně zabývali modemy (MSM) a narazili na další zranitelnost.

MSM (Mobile Station Modem) je součást čipu, která v moderních telefonech zajišťuje veškeré funkce související s bezdrátovou komunikací, včetně 2G/3G/4G/5G konektivity. První zařízení tohoto druhu navrhl Qualcomm počátkem 90. let minulého století a dnes se nachází přibližně ve 40 % všech chytrých telefonů. Experti se zaměřili na otázku, zda je možné tuto komponentu zneužít k útoku na zařízení.

Konkrétně je zaujala možnost operačního systému Android komunikovat s různými součástmi a periferiemi MSM prostřednictvím proprietárního komunikačního protokolu nazvaného Qualcomm MSM Interface (QMI). Toto řešení je používáno v přibližně 30 % všech chytrých telefonů na světě.

Klepněte pro větší obrázek 
Architektura čipu Snapdragon 888

MSM je spravován operačním systémem Qualcomm real-time OS (QuRT), ke kterému oficiálně není přístup ani na rootnutých zařízeních. Integrita QuRT je zajištěna pomocí TrustZone a existuje pouze jediný možný způsob, jak se do této oblasti dostat, a to použít zranitelnost.

Díra v čipech Qualcomm

Nalezenou zranitelnost v datové službě modemu, kterou lze využít k jeho ovládání, je možné zneužít pomocí aplikace nainstalované v telefonu. Ta injektuje škodlivý kód do jinak nedostupného softwaru, zodpovědného za správu MSM.

Klepněte pro větší obrázek 
V čipech Qualcomm je vážná bezpečnostní díra

Útočník tak získá přístup k historii SMS a hovorů a může začít odposlouchávat telefonáty. Kromě toho má možnost pomocí stejné zranitelnosti odemknout SIM kartu a obejít tak všechna bezpečnostní opatření zavedená Googlem, mobilními operátory i výrobci telefonů.

Dobrou zprávou je, že Qualcomm o chybě ví a již v prosinci 2020 vydal opravu. Nejsou však k dispozici žádné informace o tom, které telefony a kdy opravu dostanou – je tu pouze příslib, že zranitelnost bude zahrnuta do červnového bulletinu zabezpečení systému Android pod označením CVE-2020-11292.

Právě zde se v plné nahotě ukazuje jedna z největších nevýhod operačního systému Android, kdy softwarové aktualizace jednotlivých zařízení vydávají jejich výrobci. Může se tak celkem snadno stát, že některé telefony (zejména ty starší, s nižšími specifikacemi, jimž skončila podpora) záplatu vůbec nedostanou, nebo ji obdrží se značným zpožděním.

Diskuze (33) Další článek: Google Play kopíruje App Store. Aplikace budou uvádět, s jakými daty pracují

Témata článku: Android, Snapdragon, SMS, Qualcomm, Hrozba, Check Point, Zranitelnost, Zabezpečení, TrustZone, Díra, CVE, Zařízení, Bezpečnostní díra, MSM, Check Point Research, Qualcomm Snapdragon, Čip, Telefon


Určitě si přečtěte

Garmin překvapil levným sporttesterem a LTE hodinkami pro náročné
Martin Chroust
HodinkyGarmin
Nový iPad Pro zamotá hlavu hned dvakrát. Prvně výkonem, pak cenou
Martin Miksa
iPadOSiPadTablety
T-Mobile rozdává data. Zdarma, pro všechny, bez omezení objemem či rychlostí
Filip Kůžel
Neomezená dataZdarmaT-Mobile
Hodinky Garmin Venu 2 přicházejí ve dvou velikostech a s dvojnásobnou výdrží
Lukáš Václavík
Chytré hodinkyGarmin
Vybrali jsme nejlepší telefony, které si v červnu 2021 můžete koupit

Vybrali jsme nejlepší telefony, které si v červnu 2021 můžete koupit

** Každý měsíc vybíráme nejlepší mobily v několika kategoriích. ** Smartphony dělíme podle výbavy a ceny, aby si mohl vybrat každý. ** Nezapomínáme ani na tablety a tlačítkové telefony.

Jan Láska | 17

Jan Láska
TelefonySmartphonyNákup a ceny