Signálové procesory (DSP) se pro hackery stávají novou cestou, jak proniknout do mobilních zařízení.
Výzkumný tým společnosti Check Point odhalil více než 400 zranitelností v čipech Qualcomm, které využívá více než 40 % telefonů po celém světě, včetně telefonů od společností Google, LG, Samsung, Xiaomi, OnePlus a dalších. Útočníci mohou prostřednictvím zranitelností špehovat telefony se systémem Android, skrývat útoky nebo telefon „zmrazit“.
Odhaleny byly stovky zranitelných částí kódu v DSP čipech Qualcomm (Digital Signal Processor). Přestože Qualcomm zranitelnosti opravil, opravy musí implementovat i prodejci telefonů, což může trvat měsíce i roky
Check Point popisuje bezpečnostní rizika spojená s více než 400 zranitelnostmi v DSP čipu Qualcomm ve studii označené jako Achilles:
Špionáž. Útočníci mohou proměnit libovolný telefon Android v dokonalý špionážní nástroj. Telefon lze zneužít k odposlouchávání pomocí mikrofonu nebo k nahrávání hovorů.
Zamrznutí telefonu. Útočníci mohou s využitím zranitelností udělat mobilní telefon nefunkční. Všechny informace uložené v telefonu tak budou trvale nedostupné.
Maskování škodlivých aktivit. Hackeři mohou pomocí zranitelností zamaskovat své útoky a škodlivé aktivity a zajistit, aby malware nešel ze zařízení odstranit.
Pro zneužití zranitelností stačí hackerům jednoduše přesvědčit oběť k nainstalování neškodné aplikace, která nepotřebuje žádná oprávnění.
Check Point upozorňuje, že signálové procesory (DSP) se pro hackery stávají novou cestou, jak proniknout do mobilních zařízení. DSP čipy jsou mnohem zranitelnější, protože jsou spravovány jako „černé skříňky“ a je tak pro kohokoli mimo výrobce složité zkontrolovat design, funkčnost nebo kód.
Check Point odpovědně o zranitelnostech informoval Qualcomm a informováni byli i příslušní výrobci mobilních telefonů.
„Ačkoli Qualcomm problém vyřešil, celý příběh tím zdaleka nekončí, v ohrožení jsou stovky milionů telefonů. Náš výzkum ukazuje, jak složitý je mobilní ekosystém. Dodavatelský řetězec je velmi široký, takže není snadné odhalit a opravit skryté hrozby… Předpokládáme, že úplné odstranění souvisejících problémů a rizik může trvat měsíce nebo i roky,“ uvedl Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point. „Nyní je na výrobcích, jako jsou Google, Samsung, Xiaomi a další, aby integrovali záplaty do svých telefonů.“