Alvorlig designfeil gjør 40 prosent av verdens mobiler åpne for angrep
Check Point har funnet over 400 sårbarheter i Qualcomm Snapdragon-chipen som brukes i Android-mobiler.
Sikkerhetsforskerne hos leverandøren Check Point har analysert systembrikken (SoC – System on a chip) Qualcomm Snapdragon for sikkerhetsfeil. Denne brikken består av flere komponenter som er satt sammen i én brikke, og det er i subsystemet for digital signalbehandling, DSP med tilhørende kode, sårbarhetene er oppdaget – over 400 i tallet.
Selv om programvare for denne komponenten av sikkerhetsgrunner må ha egne lisenser og må digitalt signeres av Qualcomm, har Check Point-forskerne klart å omgå dette regimet. De viser på Defcon-konferansen hvordan en helt uskyldig Android-app uten noen spesielle tillatelser klarer å kjøre privilegert kode på DSP-en. Konsekvensene av sårbarhetene som åpner for dette er stygge.
Alvorlige konsekvenser
Check Point-forskerne har listet opp mulighetene som feilene medfører for en angriper som følger:Spionering: Android-mobilen din kan gjøres om til en enhet som spionerer på deg. Uten noen brukerinteraksjon kan mobilen avlytte og ta opp telefonsamtaler, avlytte mikrofonen i sann tid, vise lokasjonsdata og kopiere ut bilder.
Datatyveri: Den skadelige og ondsinnete aktiviteten kan holdes fullstendig skjult, der den skadelige programvaren kjører uten å bli oppdaget, og uten at brukeren klarer å slette den.
Bricking: Android-mobilen kan bli gjort ubrukelig ved å legge inn et kontinuerlig tjenestenekt-angrep som i praksis betyr at mobilen er ubrukelig.
Det er ventet at det vil komme fram flere detaljer om dette når Check Point presenterer forskningen sin på Defcon-konferansen fredag 7. august. Selskapet gjør det likevel klart at de ikke kommer til å publisere alle tekniske detaljer om dette før mobilfabrikantene har fått en sjanse til å gjøre noe med det.
Patch, men når?
Qualcomm har naturligvis forlengst blitt gjort oppmerksom på Check Point-funnene. Selskapet har akseptert feilene, og har utarbeidet en rekke feilrapporter for bransjen (CVE – Common Vulnerabilities and Exposures). Disse har fått numrene CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 og CVE-2020-11209, men de finnes i skrivende stund ikke som offentlig publiserte rapporter.
Qualcomm har også lagd sikkerhetsoppdateringer for feilene, men det betyr slett ikke at alle verdens mobiler har fått dem installert. Det er mobilprodusentenes oppgave å få til, og det betyr at sikkerhetsoppdateringene må ut til alle mobilene som allerede er solgt og hos sine brukere, og dette vil komme til å ta tid.
– Selv om Qualcomm har reparert disse svakhetene, er ikke dette enden på visa, dessverre. Hundrevis av millioner telefoner er fortsatt utsatt, og risikerer å bli spionert på. Som Android-bruker kan du miste alle dataene dine, sier Nils-Ove Gamlem, teknologisjef i Check Point Norge, i en pressemelding Computerworld har mottatt i e-post.
– Det er nå opp til telefonprodusentene å sørge for at alle deres telefoner blir sikret. Både nye telefoner, og de som allerede er i bruk, legger Gamlem til.
