A széleskörű vizsgálat a Qualcomm termékeire fókuszált, és sajnos komoly problémákat tárt fel
A Check Point Software Technologies egy nemzetközileg elismert kiberbiztonsági megoldásokkal foglalkozó vállalat, melynek ügyfélköre a kisebb cégektől egészen a kormányokig terjed. A frissen közzétett beszámolójuk egy átfogó kutatás nem túl bíztató eredményéről ad jelentés, melyből az derül ki, hogy a több mint egymilliárd forgalomban lévő okoseszköz alapját szolgáltató Qualcomm chip, jóformán nyitott kaput kínál a hackerek számára, totálisan kiszolgáltatva a telefonok és tabletek tulajdonosait.
A jelenlegi legfrissebb adatok alapján világszerte 3 milliárd felhasználó rendelkezik okostelefonnal, ezen eszközöknek pedig 40 százalékát teszik ki az olyan vállalatok közkedvelt termékei, mint a Google, a Samsung, az LG, vagy éppen a Xiaomi és a OnePlus, melyek a Qualcomm technológiáját használják. Az Achilles néven futó kutatás fókuszában tehát kizárólag a Qualcomm Technologies által készített DSP-k, vagyis digitális jelfeldolgozó processzorok álltak, melyek többek között a telefon optimális töltéséért, a videós jelfeldolgozásért, különféle audio funkciókért és más multimédiás szolgáltatásokért felelnek. A kutatók szerint ez a kulcsfontosságú technológia kritikus sebezhetőségeknek adhat otthont, melyeknek nem a felderítése okozza a legnagyobb nehézségeket, sokkal inkább azok kijavítása, így szükségesnek érezték, hogy mélyreható vizsgálatokat folytassanak a legelterjedtebb chipek között, hogy szükség esetén megkezdődhessen egy kényes folyamat a problémák orvoslására.
Sajnos a vizsgálat sikeresebbnek bizonyult, mint azt remélni merték, korszerű „fuzz” tesztelési technológiájuk ugyanis olyan betekintést engedett a vizsgált technológiába, mely végül számos kritikus gyengepont felfedését eredményezte. Az Achilles több mint 400 sebezhető kódot talált a tesztelt DSP chipekben, ám csak az általuk legsúlyosabbnak vélt pontokat hozták nyilvánosságra. Minimum aggasztónak nevezhető, hogy a támadók a felhasználók tudta nélkül képesek kémkedésre használni a telefonokat, például képesek távolról aktiválni a mikrofont és rögzíthetnek minden hangot, beleértve a telefonhívásokat is, de hozzáférhetnek az eszközön tárolt összes GPS helyadathoz, videóhoz és hanganyaghoz is. Adott esetben gond nélkül zárolhatják a kiszemelt készüléket, véglegesen elérhetetlenné téve az összes fényképet, videót és elérhetőséget, másképp fogalmazva célzott szolgáltatásmegtagadást érhetnek el. Ezek után talán az sem meglepő, hogy elhelyezhetnek saját káros tevékenységüket elrejtő rosszindulatú programokat is, melyek még csak el sem távolíthatók.
A sérülékenységek könnyebb azonosításához, a kritikus felfedezéseket megjelölték az amerikai CVE rendszerhez tartozó kódszámokkal (CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 and CVE-2020-11209), és ezeket természetesen azonnal megosztották a Qualcommal is, akik az utolsó pontig elismerték a jelentésben foglaltakat. A kutatás eredményei természetesen nem csak magánszemélyeket, de rengeteg vállalatot is érintenek, hiszen az 1.2 milliárd okoseszközből rengeteg teljesít aktív szolgálatot céges környezetben, így a vizsgálat részleteiről és a lehetséges biztonsági intézkedésekről nyilvános online tájékoztatókat is tartanak, külön az USA és az EU, Közel-Kelet, illetve Afrika igényeihez igazítva a két szemináriumot. A Check Point Research külön kiemelte, hogy egészen addig nem teszik közzé a sebezhetőségek műszaki részleteinek teljes listáját, amíg a mobilszolgáltatók nem rendelkeznek átfogó megoldással a kockázatok és veszélyforrások megszüntetésére. A kutatásban résztvevő mobilszolgáltatókkal és kormánytisztviselőkkel azonban folyamatos kapcsolatot tartanak fent, a közönség tájékoztatását pedig a bejelentést közlő blog.checkpoint.com látja el a továbbiakban is.
A Check Point Research felhívja a vállalatok figyelmét a szükséges biztonsági intézkedések megtételére és fejlett megoldások igénybevételére ösztönzi őket, eközben várjuk a Qualcomm hivatalos reakcióját, aki egylőre nem szólalt meg az ügyben sem Twitteren, sem Facebookon, sem más nyilvános felületen.