Check Point Research-ის (CPR) მკვლევარებმა აღმოაჩინეს უსაფრთხოების დაუცველობა Qualcomm-ის 5G მობილური სადგურის მოდემში (MSM). მავნე ზემოქმედების შემთხვევაში, ხარვეზმა შესაძლოა ექსპლუატატორებს მისცეს საშუალება დააინსტალირონ და დამალონ მავნე აპლიკაციები, მიიღონ წვდომა ტექსტურ შეტყობინებებზე და სხვა.
CPR გამოავლინა დაუცველობა Lifewire-ისთვის გაგზავნილ პრესრელიზში, სადაც აღნიშნულია, რომ ის შეიძლება მოიძებნოს Qualcomm-ის ამჟამინდელ MSM-ებში, მათ შორის მის 5G ჩიპსეტებში. ეს ჩიპები ხშირად გვხვდება მაღალი დონის მოწყობილობებში, როგორიცაა Google, Samsung, Xiaomi და LG სმარტფონები და პასუხისმგებელია მოწყობილობის ყველა ფიჭურ კომუნიკაციაზე. იმის გამო, რომ Qualcomm ჩიპები გამოიყენება უამრავ ჭკვიან მოწყობილობაში - Qualcomm MSM-ები შეიძლება მოიძებნოს ტელეფონების დაახლოებით 32%-ში მთელს მსოფლიოში 2020 წელს - ამ დაუცველობის პოტენციური წვდომა მასიურია.
უსაფრთხოების ამ ხარვეზთან დაკავშირებული ერთ-ერთი ყველაზე დიდი საზრუნავი არის წვდომა, რომელიც მას შეუძლია მავნე თავდამსხმელებს მისცეს. ექსპლუატაციის შემთხვევაში, CPR ამბობს, რომ დაუცველობა მომხმარებლებს საშუალებას აძლევს მიიღონ წვდომა MSM-ზე ოპერაციული სისტემიდან. ეს საშუალებას მისცემს თავდამსხმელს, დამალოს წვდომის დიდი ნაწილი, რომელიც მას აქვს და ის აქტივობები, რომლებსაც ახორციელებს. ტექსტურ შეტყობინებებზე წვდომის მინიჭების გარდა, ექსპლოიტმა შეიძლება მისცეს მავნე პირს წვდომა თქვენი სატელეფონო ზარის აუდიოზე და საშუალებას მისცემს მას განბლოკოს თქვენი მოწყობილობის SIM ბარათი.
„ფიჭური მოდემის ჩიპები ხშირად განიხილება კიბერ თავდამსხმელების გვირგვინის სამკაულებად, განსაკუთრებით Qualcomm-ის მიერ წარმოებული ჩიპები“, - წერს იანივ ბალმასი, Check Point Software Technologies-ის კიბერ კვლევის ხელმძღვანელი. პრესრელიზში.
„Qualcomm მოდემის ჩიპებზე თავდასხმას აქვს პოტენციალი, რომ ნეგატიურად იმოქმედოს ასობით მილიონ მობილურ ტელეფონზე მთელს მსოფლიოში.ამის მიუხედავად, ძალიან ცოტაა იმის შესახებ, თუ რამდენად დაუცველია ეს ჩიპები წვდომისა და ინსპექტირების გარშემო შექმნილი თანდაყოლილი სირთულის გამო.”
ბალმასმა ასევე თქვა, რომ მას სჯერა, რომ კვლევა, რომელსაც CPR აკეთებს, საშუალებას მისცემს უზარმაზარი ნახტომი განხორციელდეს მოდემის კოდის შემოწმებაში, რაც, იმედია, მომავალში მომხმარებელთა უკეთესი უსაფრთხოების საშუალებას მისცემს.
Qualcomm მოდემის ჩიპებზე თავდასხმას აქვს პოტენციალი ნეგატიურად იმოქმედოს ასობით მილიონ მობილურ ტელეფონზე მთელს მსოფლიოში.
CPR-ის მიერ გაზიარებული Timeline-ის მიხედვით, დაუცველობა თავდაპირველად აღმოაჩინეს და ოქტომბერში Qualcomm-ს ეცნობა. ის ამჟამად შეტანილია CVE-2020-11292 ქვეშ, საერთო დაუცველობისა და ექსპოზიციების სიაში. ამ დროისთვის, ეს ფორმა ჯერ არ არის განახლებული რაიმე რეალური ინფორმაციით ხარვეზის შესახებ.
CPR-მ განაცხადა, რომ Qualcomm-მა გამოასწორა დაუცველობა, მაგრამ მისი გავრცელება ცალკეულ მოვაჭრეებს ევალებათ, რასაც შეიძლება გარკვეული დრო დასჭირდეს.
