Check Point descobre mais de 400 vulnerabilidades críticas no chip Qualcomm Snapdragon

Salvador, 10/08/2020 – Os pesquisadores da Check Point, fornecedora global líder em soluções de cibersegurança, descobriram mais de 400 vulnerabilidades críticas no chip Qualcomm Snapdragon, usado ​​em mais de 40% dos smartphones em todo o mundo. Esse componente do telefone, conhecido como DSP (Digital Signal Processor), faz parte dos celulares Android, incluindo equipamentos de última geração de marcas como Google, Samsung, LG, Xiaomi e OnePlus, entre outros. De acordo com especialistas da Check Point, os cibercriminosos poderiam tirar proveito dessas falhas de segurança para espionar milhões de pessoas em todo o mundo por meio de seus dispositivos móveis.

Um DSP é um sistema implementado em um chip e projetado para otimizar e habilitar diferentes funcionalidades no smartphone como:

. Opções de carregamento (recursos como “carga rápida”).

. Uso de software multimídia, como captura de imagens e vídeos em alta definição, uso de realidade aumentada.

. Diversos recursos de áudio, entre os quais a decodificação de arquivos MP3, equalizando os níveis de sons baixos na música, executando as ações necessárias para ativar o cancelamento de ruído ativo ou até mesmo reconhecer a voz do usuário quando ele executa algum tipo de comando de voz.

Em resumo, um DSP é responsável pelo processamento de sinais em tempo real, como a conversão de sinais de voz, vídeo e sons ambientes em dados computáveis.

Todas essas funcionalidades fazem com que o DSP tenha se tornado um dos vetores de ataque mais inovadores usados ​​nos últimos tempos pelos cibercriminosos, pois eles aumentam a superfície de ataque e os pontos fracos dos dispositivos móveis. Além disso, os pesquisadores da Check Point alertam que os chips DSP são muito mais vulneráveis ​​a riscos, uma vez que são gerenciados como “caixas pretas”, portanto, revisar e verificar seu design, funcionalidade ou código é muito complexo para qualquer pessoa que não faça parte do fabricante.

Como funciona a vulnerabilidade

Para tirar proveito dessas falhas de segurança, os cibercriminosos precisariam apenas que o usuário baixasse um aplicativo simples, que não requer permissões e que aparentemente é legítimo para acessar o smartphone. Nesse sentido, os pesquisadores da Check Point destacam os importantes riscos de segurança associados às vulnerabilidades encontradas no Qualcomm Snapdragon:

1. Transformar o smartphone em uma ferramenta de espionagem: um cibercriminoso pode usar o dispositivo da vítima para espioná-la sem a necessidade de interação do usuário. Entre as informações que podem ser extraídas do dispositivo móvel estão fotografias, vídeos, dados de localização e GPS, entre outras. Também pode gravar chamadas e até ativar o microfone.

2. Interromper o funcionamento do smartphone: os atacantes podem explorar essas vulnerabilidades para deixar o celular da vítima sem resposta, tornando indisponíveis todas as informações armazenadas nesse aparelho, ou seja, um ataque de negação de serviço direcionado.

3. Realizar atividades maliciosas no dispositivo: o smartphone pode ocultar o malware que impede a detecção de atividades maliciosas que o cibercriminoso está realizando pelo smartphone. Além disso, é importante observar que esses programas maliciosos não podem ser removidos.

A Check Point decidiu não publicar todos os detalhes técnicos dessas vulnerabilidades até que os fabricantes de dispositivos móveis tenham uma solução abrangente para mitigar os possíveis riscos descritos. Além disso, a companhia informou com responsabilidade sobre essas vulnerabilidades aos responsáveis da Qualcomm que reconheceram essas violações de segurança e alertaram aos fornecedores, emitindo as falhas CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 e CVE-2020-11209.

“Embora a Qualcomm tenha resolvido o problema, isso não termina aqui, pois milhões de smartphones estão expostos a esse risco de segurança. O usuário pode ser espionado e perder todos os seus dados. Nossa pesquisa mostra o complexo ecossistema do mundo móvel. Com uma longa cadeia de suprimentos integrada em cada celular, não é trivial encontrar problemas profundamente ocultos em smartphones, mas também não é trivial consertá-los. Presumimos que levará meses ou mesmo anos para mitigá-los completamente”, ressalta Yaniv Balmas, chefe de pesquisa da Check Point.

“Portanto, cabe agora às marcas como Google, Samsung ou Xiaomi integrar esses patches na cadeia de fabricação de smartphones, o que implica que as vulnerabilidades ainda estão ativas. Por isso, recomendamos que todos os usuários de smartphones Android tomem precauções extremas para evitar se tornar uma nova vítima dessas falhas de segurança”, recomenta Balmas.

Além disso, os pesquisadores da Check Point enfatizam mais uma vez a necessidade de implementar ferramentas de segurança que protejam o smartphone e os dados nele armazenados. A companhia tem em seu portfólio o SandBlast Mobile, uma solução móvel de proteção contra ameaças que protege dispositivos corporativos contra ataques móveis avançados. O SandBlast Mobile também protege os dispositivos dos funcionários contra aplicativos infectados, ataques Man-in-the-Middle via Wi-Fi, explorações do sistema operacional e links maliciosos em mensagens SMS, de maneira a impedir, detectar e evitar os ciberataques mais sofisticados.

Últimas notícias

Vagas de TI
NAVA tem mais de 100 vagas de trabalho em aberto

Salvador, 18/04/2024 – A NAVA Technology for Business, empresa que fornece serviços e soluções de tecnologia, está ampliando sua oferta de vagas e, atualmente, tem mais de 100 posições abertas para atuação em São Paulo, Belo Horizonte, Curitiba, Maringá, Barueri e Osasco (modelo híbrido) e outras para atuação 100% remota, considerando profissionais de todo o […]
Dança da Cadeiras
Alexandre Tannous é o novo CTO da Accesstage

Executivo acumula mais de 25 anos de experiência e passagens por grandes empresas do mercado Salvador, 18/04/2024 – Especializada em tecnologia para pagamentos B2B e gestão financeira das empresas, a Accesstage estipulou metas agressivas para este ano de 2024. Uma delas é o crescimento de 120% e o atingimento de R$ 5Bi em recebíveis antecipados […]
Negócios
Senior Sistemas é certificada pela Great Place to Work pelo 7º ano consecutivo

Companhia reforça a importância do crescimento sustentável, impulsionado por um trabalho organizacional voltado para competências e pelo comprometimento dos mais de 2 mil colaboradores Salvador, 18/04/2024 – Somando mais de 35 anos de atuação no mercado de tecnologia para gestão dos negócios, a Senior Sistemas é hoje uma das principais empresas do Brasil quando o […]
Negócios
SEK anuncia aquisição da PROOF

Salvador, 18/04/2024 – A SEK (Security Ecosystem Knowledge), provedora de soluções e serviços de cibersegurança voltados a apoiar as empresas a lidar com ameaças digitais complexas, anuncia a aquisição da PROOF, empresa referência no mercado de Segurança da Informação, com ofertas de Serviços Gerenciados de Segurança (MDR – Managed Detection and Response) e Consultoria (governança […]
Artigos
Produção fabril do futuro: Microsoft anuncia inovações de IA para a indústria que vão desde soluções para nuvem até produção final

Por Kathleen Mitford – CVP, Indústria Global da Microsoft Salvador, 18/04/2024 – Após anos de incerteza, com a diminuição da produção na cadeia de suprimentos e o aumento das expectativas dos clientes, até mudanças na demanda do consumidor e escassez de mão de obra, a manufatura continua sendo uma das indústrias mais resilientes e complexas. […]

Menu