Os bugs do chip Snapdragon expõem quase metade dos telefones do mundo

Vulnerabilidades segurança encontrado em batata frita DSP (processador de sinal digital) Qualcomm pode permitir que invasores assumam o controle de mais de 40% de todos os telefones celulares no mundo sem qualquer interação do usuário, espionar seus usuários e criar malwares não removível, capaz de evitar a detecção por aplicativos antivírus.

DSPs são unidades system-on-chip usadas em telecomunicações e processamento de imagem digital e sinal de áudio em dispositivos eletrônicos de consumo, incluindo televisores e telefones celulares. Apesar do grande número de novos recursos e capacidades que esses chips trazem para qualquer dispositivo e sua complexidade, eles também apresentam novos pontos fracos. Inadvertidamente, tecnologias mais complexas aumentam as chances de ataques a dispositivos.

A vulnerabilidade do chip Snapdragon expõe mais de 40% dos telefones do mundo. Imagem: Reprodução

Centenas de milhões de dispositivos expostos

De acordo com os pesquisadores da Check Point que descobriram as vulnerabilidades, o chip DSP com vazamento de segurança “pode ​​ser encontrado em quase todos os telefones Android no planeta, incluindo os telefones de última geração do Google, Samsung, LG, Xiaomi, OnePlus e mais. “

Se você tiver um Iphone, você pode ficar calmo. A linha de smartphones da maçã você não é afetado pelos problemas de segurança descobertos e divulgados pela Check Point.

A empresa divulgou suas descobertas da Qualcomm, que reconheceu as falhas, notificou os fornecedores e atribuiu a eles os seguintes seis CVEs (Vulnerabilidades e Exposições Comuns): CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE – 2020-11207, CVE-2020-11208 e CVE-2020-11209.

O Check Point listou algumas das coisas que tornam essas vulnerabilidades possíveis:

  • Transforme seu celular em uma ferramenta espiã, sem a necessidade de interação do usuário. As informações que podem ser coletadas “incluem fotos, vídeos, gravação de chamadas, dados do microfone em tempo real, GPS e dados de localização, etc.”
  • Ataques direcionados de negação de serviço, ou seja, tornar todas as informações do telefone permanentemente indisponíveis, deixando o telefone sem resposta
  • Uso de malware e outros códigos maliciosos, ocultando suas atividades e tornando-os não removíveis

Reprodu

A Qualcomm afirma ter corrigido as falhas de segurança. Imagem: Los Angeles Times

Atualizações de segurança

Embora a Qualcomm já tenha corrigido as falhas encontradas nos chips Snapdragon DSP da Qualcomm, os fornecedores de dispositivos móveis ainda precisam implementar e fornecer patches aos usuários de seus sistemas. Portanto, a ameaça ainda existe, pois os dispositivos ainda são vulneráveis.

Os pesquisadores não divulgaram os detalhes técnicos por trás dessas falhas, o que permitiria aos fornecedores de telefones desenvolver e entregar atualizações de segurança aos usuários para diminuir o risco. No entanto, para “aumentar a conscientização sobre essas questões”, a Check Point compartilhou seu estudo com o site BleepingComputer.

De acordo com os investigadores, funcionários governamentais relevantes e fornecedores de dispositivos móveis foram informados. “Todos os detalhes da pesquisa foram divulgados a essas partes interessadas”, disseram.

Em uma nota, um porta-voz da Qualcomm disse que “Fornecer tecnologias que oferecem suporte a segurança e privacidade fortes é uma prioridade para a Qualcomm. Com relação à vulnerabilidade do Qualcomm Compute DSP divulgada pela Check Point, estamos trabalhando diligentemente para validar o problema e colocar o mitigações apropriadas disponíveis para OEMs. ” Não temos evidências de que ele esteja sendo explorado. Incentivamos os usuários finais a atualizar seus dispositivos conforme os patches se tornam disponíveis e instalar apenas aplicativos de locais confiáveis, como a Google Play Store. “

Através da: BleepingComputer

'+title+''+btnOpen+btnMax+btnMin+btnClose+'
'+player+'

'); if (this.getStorage('player-minimized')!=='S') window.setTimeout(function(){OD_LIB.widgetPlayerRestore();}, 100); }; /** * Fecha vídeo "widget" * @return void */ this.widgetPlayerClose = function(){ $('.wdgplayer').remove(); }; /** * Maximiza vídeo "widget" * @return void */ this.widgetPlayerMinimize = function(){ $('.wdgplayer').addClass('minimized'); this.setStorage('player-minimized', 'S', 5); }; /** * Miniza vídeo "widget" * @return void */ this.widgetPlayerRestore = function(){ $('.wdgplayer').removeClass('minimized'); this.setStorage('player-minimized', 'N'); }; /** * Retorna endpoint dos dados para odNews * @return void */ this.odNewsJSONUrl = function(){ return '//'+this.getHost()+'/site/arquivos/json/fblive.json'; }; /** * Retorna url do vídeo na página ODNews * @return void */ this.odNewsUrl = function(video){ return '//'+this.getHost()+'/aovivo/?v='+video.id; }; /** * Retorna a url * @return void */ this.odNewsletterWSUrl = function(){ return '//'+this.getHost(true)+'/webservice?Servico=NewsAssinar'; }; /** * Obtém o valor de localStorage * @return string */ this.getStorage = function(key){ var ret=localStorage.getItem(key), to; if ((to=localStorage.getItem(key+'_to'))>0){ if ((new Date().getTime())-(localStorage.getItem(key+'_ts'))>to){ localStorage.removeItem(key); localStorage.removeItem(key+'_to'); localStorage.removeItem(key+'_ts'); ret = null; } } return ret; }; /** * Define o valor em localStorage * @return void */ this.setStorage = function(key, value, expireSeconds){ localStorage.setItem(key, value); if (expireSeconds>0){ localStorage.setItem(key+'_ts', new Date().getTime()); localStorage.setItem(key+'_to', expireSeconds*1000); } }; /** * ODNews play * @return null */ this.odNewsPlay = function(video){ var title="Olhar Digital News está no ar"; this.setODNewsEnabled(false); if (this.getRefreshTimeout()>0) this.setRefreshTimeout(1800); if (video.origin == 'facebook'){ this.widgetPlayer(title, '

', this.odNewsUrl(video)); this.loadFBApi(); } else { this.widgetPlayer(title, 'https://www.youtube.com/watch?v='+video.id+'', this.odNewsUrl(video)); } this.hitODNews(); }; /** * Verifica exibição do player aovivo * @return null */ this.odNewsVerify = function() { if (odNewsProcessing || !odNewsEnabled) return; odNewsProcessing = true; $.ajax({ url: OD_LIB.odNewsJSONUrl(), type:'get', dataType:'json', success: function(videos){ var i, video; for (i in videos){ video = videos[i]; if (!video.live_video) continue; if (video.live_status != 'LIVE') continue; $('body').addClass('odnews-active'); OD_LIB.odNewsPlay(video); break; } odNewsProcessing = false; }, error: function(xhm, error){ console.error('Erro ao obter status do stream Olhar Digital'); odNewsProcessing = false; } }); }; /** * Define o tempo de refresh da página em segundos * @return null */ this.setRefreshTimeout = function(seconds){ if (refreshTo !== false) { window.clearTimeout(refreshTo); refreshTo = false; } refreshTimeout = Math.max(0, seconds); if (refreshTimeout <= 0) return; refreshTo = window.setTimeout(function(){location.reload();}, refreshTimeout * 1000); }; /** * Obtém o tempo de refresh da página em segundos * @return int */ this.getRefreshTimeout = function(){ return refreshTimeout; }; /** * AD configs * @param Array * @return null */ this.dfpSetConfig = function(config){ dfpAdConfig = config; } /** * AD callbacks / slot rendered * @param googletag.events.Event * @return null */ this.dfpSlotRendered = function(event){ var isBG = (function(){return (Array.isArray(event.size) && event.size[0]==2000 && event.size[1]==1000);})(), config = (function(){ var found=false, prop, value, i, c, find=['creativeId', 'lineItemId', 'campaignId', 'advertiserId']; for (i in find){ prop=find[i]; for (c in dfpAdConfig){ if ((value=event[prop]) && value==dfpAdConfig[c][prop]){found=dfpAdConfig[c]; break;} } if (found) break; } return found?found:{}; })(); if (isBG){ document.body.className+=' has-background'; OD_LIB.addInit(function(){ var h; if ((h=config.header_height)>0) $('#content').css({'transition':'margin-top ease 1.2s', 'margin-top': h+'px'}); $(window).trigger('resize'); }); } }; /** Sync startup - profile */ (function(lib){ var xhr = new XMLHttpRequest(); xhr.withCredentials = true; xhr.onreadystatechange = function(){ var data=false; if (!(xhr.readyState == 4 && xhr.status == 200)) return; try {data=JSON.parse(xhr.responseText);} catch (e) {console.log('uInfo parser error');} if (!data) return; lib.userInfo = data; if (lib.userInfo.id <= 0) return; lib.addInit(function(){$('#user_info').addClass('logado').find('[data-item="nome"]').html(OD_LIB.userInfo.nome+' '+OD_LIB.userInfo.sobrenome);}); if (lib.userInfo.redirTo!='') {window.location.hostname=lib.userInfo.redirTo;} } xhr.open('GET','https://'+lib.getHost(true)+'/profile/me'); xhr.send(); })(this); /** Async startup - rate */ this.addInit(function(){ var bdy=$('body'), id = parseInt(bdy.attr('data-id'), 10); if (id<=0) return; $.ajax({url:'https://'+OD_LIB.getHost(true)+'/site/run/avaliacao.php?id='+id,xhrFields:{withCredentials: true}}).done(function(data) {bdy.append(data);}); }); }); OD_LIB.setRefreshTimeout(0); OD_LIB.setODNewsEnabled('1'=='1');

You May Also Like

About the Author: Manoel Menezes Kimura

"Analista hardcore. Viciado em Twitter. Comunicador. Jogador sutilmente encantador. Fã de bacon. Fanático por álcool irritantemente humilde."

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *