12.31.21
Сукупність вразливостей в SoC Qualcomm ставить під загрозу понад 900 млн Android-пристроїв

      На щорічній конференції хакерів DEF CON 24, що відбулася минулого тижня в Лас-Вегасі, фахівці американської компанії Check Point Software Technologies виступили з доповіддю, присвяченою сукупності вразливостей в чіпсетах Qualcomm. Скориставшись ними, зловмисники можуть дістати несанкціонований доступ до більш ніж 900 млн Android-смартфонів, наявних на ринку.

Сукупність, іменована Quadrooter, включає чотири уразливості, яким присвоєно наступні ідентифікатори: CVE-2016-2503, CVE-2016-2504, CVE-2016-2059 і CVE-2016-5340.
Перші дві уразливості були виявлені в драйвері для мобільного графіки Qualcomm і усунені в оновленнях безпеки Android Security Bulletin за липень і серпень. Решта дві - «дірки» в модулі ядра Qualcomm і знову-таки в графічному драйвері - вже виправлені, причому перша ще в квітні, але терміни випуску відповідних оновлень поки неясні.

Як завжди в таких випадках, будь-яка з цих вразливостей може бути використана лише за умови попереднього завантаження і установки на пристрій потенційної жертви спеціальної шкідливої програми. Під час установки шкідливого додатку, відмінно замаскований під звичайний, який не вимагає яких-небудь особливих привілеїв, завдяки чому присипляє пильність жертви. А вже потрапивши на смартфон він використовує будь-яку з вищезазначених вразливостей, щоб підвищити свої системні привілеї до рівня root. В результаті хакери можуть отримати повний контроль над пристроєм. Тобто, отримавши root-доступ, зловмисник може завантажувати і встановлювати на смартфон жертви будь-яке шкідливе ПЗ без його дозволу або з відома (процес установки проходить у фоновому режимі).

Не варто наївно вважати, що проблема зачіпає лише старі Android-моделі. У списку пристроїв, схильних до уразливості Quadrooter, числяться і новіші моделі, в числі яких BlackBerry Priv, Blackphone 1, Blackphone 2, Google Nexus 5X, Nexus 6, Nexus 6P, HTC One, HTC M9, HTC 10, LG G4, LG G5 , LG V10, Moto X, OnePlus One, OnePlus 2, OnePlus 3, Samsung Galaxy S7, Samsung S7 Edge і Sony Xperia Z Ultra.

Випуск відповідних виправлень - питання дуже болюче і дуже затяжне. Перш ніж досягти кінцевого користувача заплатки Qualcomm належить пройти довгий шлях через OEM-виробників Android-смартфонів і мобільних операторів.

quadrooter-android-security-bugs-affect-over-900-million-devices-507052-3

На закінчення додамо, що фахівці Check Point підготували не тільки докладний технічний звіт щодо QuadRooter, а й випустили спеціальний Android-додаток для перевірки смартфона на предмет наявності уразливості.

Джерело: Softpedia

Переглядів: 314 | Додав: dvi | Рейтинг: 0.0/0
Всього коментарів: 0
der="0" width="100%" cellspacing="1" cellpadding="2" class="commTable">
Ім'я *:Email:WWW:
Код *:
close