Исследователи обнаружили более 400 уязвимостей в чипах Qualcomm Snapdragon, которые подвергают опасности более 1 млрд Android-устройств. Эти уязвимости могут использоваться для установки вредоносных приложений на целевые устройства без разрешения пользователя. В дальнейшем такие приложения могут использоваться для кражи пользовательских данных, отслеживания местоположения пользователя или прослушивания их окружения.
Уязвимости напрямую затрагивают функционирование цифрового сигнального процессора чипсетов Snapdragon, который используется для обработки видео, аудио, дополненной реальности и других мультимедийных функций. Также он служит для управления функцией быстрой зарядки. Уязвимости позволяют злоумышленникам скрыть вредоносный код от операционной системы, что делает его неудаляемым. Злоумышленники также могут вынудить Android-устройство прекратить отвечать на запросы, что затрудняет внесение каких-либо изменений для решения проблемы.
Компания Check Point, обнаружившая уязвимости, присвоила им название Achilles (CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208, CVE-2020-11209) и уже уведомила Qualcomm. Чипмейкер уже разработал исправление, но оно пока ещё не начало распространяться на конечные устройства пользователей. Google и Qualcomm пока не предоставили сведений о плановых сроках выхода обновлений для общего пользования. Учитывая большой перечень затрагиваемых устройств, на распространение может потребоваться много времени.
Qualcomm заявила, что нет доказательств использования данных уязвимостей в реальных условиях. Тем не менее, компания рекомендует пользователям устанавливать приложения только из надёжных источников, таких как Google Play Store.
Источник: wccftech
