Проверете Android смартфона си за актуализации: Qualcomm предупреждава уязвимости в чиповете си
Qualcomm заяви за три сериозни уязвимости в своите мобилни процесори, които могат да бъдат употребявани от хакери. Уязвимостите засягат графичния ускорител Adreno и са открити в чиповете Snapdragon 888 (от 2021 година), Snapdragon 8 Gen 2 (от 2022 година) и Snapdragon 8 Gen 3 (от 2023 година). Вече са пуснати кръпки, само че уязвимостите може към този момент да се употребяват при целенасочени офанзиви.
Qualcomm е получила информация за опасността от Гугъл Threat Analysis Group (TAG) – група, която е профилирана в противодействието на хакери, свързани с държавното управление. Две от уязвимостите са открити през януари, а третата – през март. Всички те нападат графичния процесор Adreno в чиповете на Qualcomm.
За да се възползват от тези уязвимости, нападателите се нуждаят от физически достъп до устройството, което не разрешава всеобщи офанзиви по интернет. Също по този начин наподобява, че тези уязвимости могат да бъдат употребявани от разследващи организации или търговски сдружения за навлизане в иззети смарт телефони.
Първите две уязвимости (CVE-2025-21479 и CVE-2025-21480) са свързани с разваляне на паметта в графичните процесори заради осъществяване на неразрешени команди. Третата (CVE-2025-27038) е обвързвана с бъг в браузъра Chrome, който разрешава достъп до към този момент освободена памет. По отношение на третата е известно също, че тя визира единствено избран набор от по-прости чипове на Qualcomm, в това число Snapdragon 6 Gen 1, Snapdragon 4 Gen 2 и Snapdragon 680. Това значи, че става дума освен за флагмански устройства, само че и за бюджетни устройства.
Отбелязва се, че Qualcomm е изпратила пачове на производителите на смарт телефони още през май, само че времето за стартиране на актуализациите зависи от компаниите-разработчици. Няма данни за всеобщи хакерски офанзиви посредством тези уязвимости, само че потреблението им при целенасочени офанзиви прави инсталирането на актуализациите сериозно значимо и на потребителите се предлага да ревизират за съществуването на пачове в настройките за сигурност на своите устройства.
Инцидентите са продължение на по-ранни акции: още през 2023 година Qualcomm заяви за дейна употреба на три други уязвимости от вида „ нулев ден “ в драйвери за GPU и Compute DSP. Всички те са били експлоатирани от нападатели преди стартирането на кръпки, което акцентира трайния интерес на хакерските групи към архитектурата на чипсетите на Qualcomm.
На фона на зачестилите целенасочени офанзиви Qualcomm още веднъж обръща внимание на значимостта на своевременното използване на актуализациите за сигурност. В същото време отбраната на потребителите директно зависи от това какъв брой бързо производителите на устройства и операторите всеобщо популяризират тези пачове.
