Domů » Články » Telefony s Qualcommem v ohrožení. Díky stovkám bezpečnostních chyb je lze špehovat a zneužít

Telefony s Qualcommem v ohrožení. Díky stovkám bezpečnostních chyb je lze špehovat a zneužít

Tohle mohl být obrovský průšvih. Výzkumný tým společnosti Check Point totiž v nově zveřejněné tiskové zprávě odhalil více než 400 zranitelných částí kódu DSP čipu Qualcomm, což se týká více než 40 % telefonů po celém světě. DSP čip Qualcommu je téměř ve všech telefonech Android, včetně vlajkových modelů od společností Google, Samsung (i když v Evropě Samsung používá především čipy Exynos), LG, Xiaomi, OnePlus a dalších.

achilles chyba

Výzkumný tým kyberbezpečnostní společnosti popsal významná bezpečnostní rizika spojená s více než 400 zranitelnostmi v Qualcomm DSP čipu ve výzkumné zprávě označené jako „Achillova pata telefonů s Androidem“.

Aktivity, které útočníci s telefony mohou provádět

  • Špionáž: Útočníci mohou proměnit libovolný Android telefon v dokonalý špionážní nástroj. Uživatelé mohou přijít například o fotografie, videa, údaje o poloze nebo lze telefon zneužít k odposlouchávání pomocí mikrofonu nebo k nahrávání hovorů.
  • „Zamrznutí“ telefonu: Útočníci mohou s využitím zranitelností udělat mobilní telefon nefunkční. Všechny informace uložené v telefonu tak budou trvale nedostupné – včetně fotografií, videí, kontaktních údajů atd.
  • Maskování škodlivých aktivit: Hackeři mohou pomocí zranitelností zamaskovat své útoky a škodlivé aktivity a zajistit, aby malware nešel ze zařízení odstranit.
  • Pro zneužití zranitelností stačí hackerům jednoduše přesvědčit oběť k nainstalování neškodné aplikace, která dokonce ani nepotřebuje žádná oprávnění.

Co je to DSP?

DSP je zkratka pro digitální signálový procesor. DSP se zaměřuje na práci se signály v reálném čase a jejich přeměnu na zpracovatelná data. DSP technologie najdete uvnitř sluchátek, chytrých telefonů, chytrých reproduktorů, automobilů a řady dalších zařízení. DSP v chytrém telefonu například dekóduje soubory MP3, u písniček vylepšuje basy, pomáhá s výpočty pro aktivní potlačení šumu a rozpoznává váš hlas, když řeknete „Ahoj, Google!“. Jednoduše řečeno lze DSP přirovnat k samostatnému počítači v těle jednoho čipu. A téměř každý moderní telefon má alespoň jeden z těchto čipů.

DSP jako nový útočný vektor

Check Point upozorňuje, že DSP je pro hackery lákadlem a novou cestou, jak proniknout do mobilních zařízení. DSP čipy jsou mnohem zranitelnější, protože jsou spravovány jako „černé skříňky“ a je tak pro kohokoli mimo výrobce složité zkontrolovat design, funkčnost nebo kód.

hacker security bezpecnost jumpstory
Ilustrační obrázek

Check Point odpovědně o zranitelnostech informoval Qualcomm a informováni byli i příslušní výrobci mobilních telefonů. Check Point se rozhodl nezveřejnit technické detaily, dokud výrobci mobilních telefonů nebudou mít komplexně vyřešené odstranění všech souvisejících rizik. Zároveň je ale důležité na problém upozornit. S detailními informacemi byli kontaktováni příslušní vládní úředníci a mobilní výrobci a Check Point s nimi spolupracuje na zvýšení bezpečnosti mobilních telefonů.

Ačkoli Qualcomm problém vyřešil, celý příběh tím zdaleka nekončí, v ohrožení jsou stovky milionů telefonů. Hrozí špehování nebo ztráta dat. Náš výzkum ukazuje, jak složitý je mobilní ekosystém. Dodavatelský řetězec je velmi široký, takže není snadné odhalit a opravit skryté hrozby, naštěstí jsme tentokrát dokázali nebezpečné zranitelnosti odhalit. Ovšem předpokládáme, že úplné odstranění souvisejících problémů a rizik může trvat měsíce nebo i roky. Pokud by takové zranitelnosti nalezli a zneužili kyberzločinci, miliony uživatelů by byly snadným terčem,“ říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point.

Nyní je na výrobcích, jako jsou Google, Samsung, Xiaomi a další, aby integrovali záplaty do svých telefonů. Podle našich odhadů to ovšem bude chvíli trvat. Proto nyní vzhledem k vysokému riziku nezveřejňujeme plné technické detaily, aby se nedostaly do nesprávných rukou. Uživatelé nemusí jen pasivně čekat, až výrobci záplaty implementují, protože Check Point nabízí ochranu i před zneužitím těchto zranitelností pomocí komplexního mobilního bezpečnostního řešení.

Roman Hálek

Technologie 21. století mě inspirují a neustále popohání vpřed. Rád o nich píši a ještě radši je všechny zkouším. A pokud zrovna nesedím u klávesnice, s nadšením běhám, nebo se proháním na kole, a s nepatrně menším nadšením dálkově studuji vysokou školu.
Sledování diskuze
Upozornit na
guest
14 Komentáře
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments