Открити са близо 10 критични уязвимости в мобилните чипове на Qualcomm
Изследователи от Android Red Team на Гугъл са разкрили повече от девет уязвимости в Adreno GPU – известния програмен продукт на Qualcomm, употребен за ръководство на мобилните чипове на милиони устройства с Android. Екипът разкри това на конференцията за киберсигурност Defcon в Лас Вегас.
Уязвимостите, които към този момент са отстранени, разрешават на нападателите да получат цялостен надзор над устройството. За да го създадат обаче, те първо е трябвало да получат достъп до целевото устройство, да вземем за пример като подмамят жертвата да конфигурира злонамерено приложение, изяснява Wired.
Проблемът се състои в това, че всички приложения в телефоните с Android могат да взаимодействат непосредствено с драйвера на графичния процесор Adreno „ без sandboxing или спомагателни инспекции “, изяснява Сюан Синг, началник на Android Red Team. Макар че това единствено по себе си не дава опция на приложенията да работят злонамерено, то трансформира GPU драйверите в мост сред частите на операционната система и нейното ядро, осигурявайки цялостен надзор над цялото устройство, в това число над паметта му.
Експертите настояват, че графичните процесори и софтуерът, който ги поддържа, могат да се трансфорат в сериозно полесражение в региона на компютърната сигурност, защото комбинацията от висока трудност на реализацията и необятна досегаемост съставляват необикновен интерес за нападателите.
Qualcomm към този момент пусна кръпки за производителите на автентично съоръжение (OEM) през май 2024 година и предложи на крайните консуматори да конфигурират актуализации за сигурност от производителите на устройства, когато те станат налични.
