Σύμφωνα με την ανακάλυψη των ερευνητών της Tencent Blade, ένα σύνολο ευπαθειών γνωστές ως QualPwn, επηρεάζουν τις συσκευές Android που λειτουργούν με Snapdragon SoCs.
Οι ερευνητές βρήκαν ότι η ευπάθεια CVE-2019-10538, η οποία έχει καταταχθεί ως υψηλού κινδύνου, μπορεί να εκμεταλλευτεί από τους hacker ώστε να τους δώσει τον έλεγχο του WiFi chip σε μια συσκευή που χρησιμοποιεί έναν Qualcomm SoC.
Μία άλλη ευπάθεια, η CVE-2019-10540, η οποία έχει χαρακτηριστεί ως σοβαρή, επιτρέπει στους επιτιθέμενους να χακάρουν τον πυρήνα του Android μέσω του WLAN interface. Ωστόσο, για να γίνει αυτό, ο επιτιθέμενος πρέπει να βρίσκεται στο ίδιο δίκτυο WiFi.
TikTok: Μήνυση από 13 πολιτείες γιατί βλάπτει τα παιδιά
Τι πρέπει να ελέγξετε πριν σαρώσετε ένα QR code;
Εξερεύνηση του Άρη από ανθρώπους έως το 2035
Οι ερευνητές ήταν σε θέση να δοκιμάσουν τις ευπάθειες στο Google Pixel 2 (SD835) και το Pixel 3 (SD845) και ανακάλυψαν ότι αυτά τα chip ανήκουν σε αυτά που επηρεάζονται.
Η πρώτη φορά που εντόπισαν τις ευπάθειες ήταν τον Φεβρουάριο και τον Μάρτιο και αργότερα ενημέρωσαν τόσο την Google όσο και την Qualcomm. Τον Ιούνιο, η Qualcomm αναγνώρισε τις ευπάθειες και προχώρησε σε επιδιόρθωση των OEMs.
Στις 5 Αυγούστου, ο δημιουργός chip εξέδωσε περαιτέρω συμβουλές ασφαλείας, όπου ανέφερε ότι η ευπάθεια CVE-2019-10540 επηρεάζει τα ακόλουθα SoCs.
Η Google κυκλοφόρησε την ενημερωμένη έκδοση κώδικα για το Android ως μέρος του ενημερωτικού δελτίου ασφαλείας του Android 2019 και η τελευταία ενημερωμένη έκδοση ασφαλείας επιδιορθώνει τα δύο κενά ασφαλείας για συσκευές Pixel.
Παρόλα αυτά, πολλές επηρεαζόμενες συσκευές Android θα μπορούσαν να παραμείνουν χωρίς επιδιόρθωση προς το παρόν, είτε γιατί ο κύκλος υποστήριξης τους έχει λήξει είτε γιατί ορισμένοι κατασκευαστές συσκευών είναι συνήθως απρόθυμοι να εκδώσουν γρήγορα τις ενημερώσεις ασφαλείας.
Προς το παρόν, οι ερευνητές δεν έχουν ακούσει για περιπτώσεις όπου αυτά τα σφάλματα έχουν εκμεταλλευτεί στην πραγματική ζωή. Ως μέρος της πολιτικής απορρήτου της, η ομάδα της Tencent Blade θα αποκαλύψει όλες τις λεπτομέρειες των τρωτών σημείων στις 8 Αυγούστου στο συνέδριο Black Hat 2019.