Depois da revelação de uma falha nos processadores Intel, chegou a vez de a Qualcomm sofrer com vulnerabilidades críticas em seus chipsets. A descoberta foi feita pelos pesquisadores da Tencent Blade, o braço de segurança cibernética da Tencent, que opera a popular plataforma de mensagens WeChat e detém 40% da Epic Games (criadora de Fortnite). A ação foi divulgada durante a conferência sobre segurança digital Black Hat.
Em seu boletim de agosto, o Android Open Source Project (AOSP) cita as vulnerabilidades, chamadas de QualPwn. São basicamente duas: uma nos chipsets da Qualcomm e outra no kernel. Combinadas, podem permitir que hackers controlem dispositivos Android. Sozinha, a primeira ainda permite que um invasor espione as comunicações do usuário.
O QualPwn reside na WLAN e no firmware de modem dos chipsets. A falha permite que hackers acessem os dispositivos remotamente, via WiFi, e enviem pacotes maliciosos, comprometendo o kernel do Android sem o conhecimento do usuário (hacker e smartphone precisam estar conectados à mesma rede sem fio).
Processadores para fins especiais voltados para os segmentos automotivo, IoT e de alto-falante inteligente também foram afetados. Entre os modelos comprometidos estão Snapdragon 850, 8CX, 855, 845, 835, 820, 730, 712, 710, 675, 670, 665, 636 e vários outros para laptops e smartphones como Samsung Galaxy S9 e OnePlus 6.
A análise da Tencent, realizada em fevereiro, restringiu-se ao Pixel 2 e ao Pixel 3 (rodando o Snapdragon 835 e o Snapdragon 845, respectivamente). A equipe informou o problema à Google, que, por sua vez, pressionou a fabricante americana para que lançasse um patch por meio da atualização de segurança. A Google também liberou recentemente uma correção em seu Boletim de Segurança para Android.
Mesmo o patch estando disponível, muitos fabricantes não liberaram atualizações regulares de software para seus telefones, especialmente nos modelos mais antigos.
Fontes
Categorias