A Qualcomm lançou uma atualização para corrigir uma vulnerabilidade em seus chips Snapdragon, que expõe cerca de um terço dos smartphones Android no mundo. A falha foi descoberta por um grupo de pesquisadores da empresa de segurança Check Point e divulgada nesta quinta-feira (06/05).
De acordo com os pesquisadores, a vulnerabilidade atingia o MSM (Mobile Station Modem), um sistema de chips que fornece recursos para envios de mensagens SMS e gravações em alta definição. Este conjunto pode ser encontrado em dispositivos com chips Snapdragon, de empresas como Samsung, Xiaomi, LG, OnePlus e muitas outras. Só para ter uma ideia do alcance dessa vulnerabilidade, os processadores da Qualcomm estão presentes em 31% dos smartphones no planeta, segundo dados da Counterpoint Research.
A falha se instalava no sistema por meio de um app que implantava um código malicioso dentro do MSM. A chave oculta, então, invadia funções vitais no celular. “Um invasor usa essa vulnerabilidade para injetar um código malicioso no modem do Android, dando acesso ao histórico de chamadas e mensagens de texto no usuário do aparelho, assim como a possibilidade de escutar conversas”, diz a publicação divulgada hoje. “Um hacker também explora a vulnerabilidade para desbloquear o SIM do dispositivo, superando restrições impostas pelas operadoras.”
Em comunicado oficial, a Qualcomm agradece a empresa pelo achado e diz ter providenciado atualizações para a vulnerabilidade já em dezembro de 2020. “Encorajamos os usuários da ponta a atualizar seus dispositivos conforme os patches estiverem disponíveis”, diz o texto. Vale citar que a Check Point já tinha feito um alerta no ano passado, chamando a atenção para mais de 400 vulnerabilidades presentes nos processadores Snapdragon.
Demora na correção
Mesmo com a atualização da Qualcomm, o porta-voz da Check Point, Ekram Ahmed explica que as correções na vulnerabilidade devem demorar a surtir efeito. Justamente porque, mesmo a empresa americana tendo divulgado o bug para todos os clientes que usam o chip, ainda não está claro quais dispositivos Android foram consertados. “De acordo com nossa experiência, a implementação dessas correções leva tempo, então alguns dos telefones ainda podem estar sujeitos à ameaça”, explica Ahmed. “Assim, decidimos não compartilhar todos os detalhes técnicos, pois isso daria aos hackers um roteiro para orquestrar a exploração.”
A vulnerabilidade foi rastreada como CVE-2020-11292. A Check Point fez a descoberta através de um processo conhecido como “fuzzing”, que expõe o sistema do chip a entradas anômalas para rastrear bugs no firmware. Nesse post, a Check Point explica minuciosamente o problema.
Via Ars Technica
Imagem: Monoar_CGI_Artist/Pixabay/CC