Check Point Research, výzkumný tým společnosti Check Point Software Technologies, odhalil více než čtyři stovky zranitelných částí kódu DSP čipu Qualcomm, což se týká více než 40 % telefonů po celém světě.
DSP čip Qualcommu se podle Check Pointu nachází téměř ve všech telefonech s operačním systémem Android, včetně špičkových modelů od společností Google, Samsung, LG, Xiaomi, OnePlus a dalších.
Zásadním rizikem je podle analytiků zranitelnost, díky které mohou útočníci proměnit libovolný telefon s Androidem v dokonalý špionážní nástroj. Telefon lze například zneužít k odposlouchávání pomocí mikrofonu nebo k nahrávání hovorů.
Check Point dále uvádí, že útočníci mohou s využitím zranitelností způsobit, že mobilní telefon bude nefunkční. Všechny informace uložené v telefonu tak budou trvale nedostupné – včetně fotografií, videí, kontaktních údajů atd.
Odborníci rovněž upozorňují na to, že hackeři mohou pomocí zranitelností zamaskovat své útoky a škodlivé aktivity a zajistit, aby malware nešel ze zařízení odstranit. Pro zneužití zranitelností stačí hackerům přesvědčit oběť k nainstalování neškodné aplikace, která nepotřebuje žádná oprávnění.
DSP jako nové lákadlo
Společnost vysvětluje, že DSP je zkratka pro digitální signálový procesor. DSP se zaměřuje na práci se signály v reálném čase a jejich přeměnu na zpracovatelná data, přičemž alespoň jeden takový čip má téměř každý moderní telefon.
Check Point proto upozorňuje, že DSP je pro hackery lákadlem a novou cestou, jak proniknout do mobilních zařízení. DSP čipy jsou mnohem zranitelnější, protože jsou spravovány jako „černé skříňky“ a je tak pro kohokoli mimo výrobce složité zkontrolovat design, funkčnost nebo kód.
Výzkumný tým firmy o zranitelnostech informoval Qualcomm i příslušné výrobce mobilních telefonů a zároveň se rozhodl nezveřejnit technické detaily, dokud výrobci nebudou mít komplexně vyřešené odstranění všech souvisejících rizik.
„Ačkoli Qualcomm problém vyřešil, celý příběh tím zdaleka nekončí, v ohrožení jsou stovky milionů telefonů. Hrozí špehování nebo ztráta dat. Náš výzkum ukazuje, jak složitý je mobilní ekosystém,“ říká Petr Kadrmas, security engineer Eastern Europe ve společnosti Check Point.
Dodavatelský řetězec je podle něj velmi široký, takže není snadné odhalit a opravit skryté hrozby. „Ovšem předpokládáme, že úplné odstranění souvisejících problémů a rizik může trvat měsíce nebo i roky,“ dodává.
Zdroj: Check Point
