Analistas de segurança da Check Point encontraram mais de 400 vulnerabilidades em chips Snapdragon da Qualcomm, que equipa bilhões de dispositivos Android ao redor do mundo. A descoberta foi divulgada pela empresa especialista em segurança.
Segundo a companhia, o Snapdragon está em cerca de 40% dos smartphones em todo o mundo. Como são cerca de 3 bilhões de dispositivos Android, isso equivale a mais de um bilhão de telefones – os quais estão em risco.
Alvos podem ser atacados por meio da instalação de aplicativos maliciosos que não requerem nenhuma permissão do usuário (como por exemplo acesso a câmera e microfone) ou por meio da reprodução de vídeos, onde na hora que o usuário abrir o arquivo, o chip irá renderizar.
A partir desses dois meios, os invasores podem monitorar locais, ouvir um áudio em tempo real e ter acesso a fotos e vídeos. Os hackers também podem permitir que o telefone pare de responder completamente. De acordo com a Check Point, depois que o smartphone é afetado fica difícil retirar a falha pois o sistema operacional oculta a invasão.
Consequências do ‘baixo custo’
Processadores Snapdragon são conhecidos pelo baixo custo e por fornecerem uma série de componentes aos smartphones, como um chip completo contendo um processador gráfico e, em alguns modelos, até antenas de rede. Com isso, após o celular ser infectado por meio das vulnerabilidades divulgadas, os invasores têm em mãos inúmeros (ou quase todos) processos que ocorrem no dispositivo expostos para uso de espionagem.
Os pesquisadores que divulgaram as falhas afirmaram no relatório que “Embora os chips forneçam uma solução relativamente econômica que permite que os celulares forneçam aos usuários várias funcionalidades e habilitem recursos inovadores, eles têm custo, que tem sido a baixa proteção”.
Correção das falhas
A Qualcomm lançou uma correção para as vulnerabilidades divulgadas, mas até agora não foi incorporada pelo Google no sistema operacional Android. Até que as mudanças de segurança cheguem aos usuários finais, a Check Point está explorando mais dados técnicos sobre as falhas.
Confira o posicionamento da Qualcomm sobre o assunto na íntegra:
“Fornecer tecnologias que dão suporte robusto para segurança e privacidade é uma prioridade para a Qualcomm. Em relação à vulnerabilidade do Qualcomm Compute DSP divulgada pela Check Point, trabalhamos com empenho para validar o problema e disponibilizar mitigações apropriadas aos OEMs. Não temos evidências de que a vulnerabilidade esteja sendo explorada no momento. Incentivamos os usuários finais a atualizar seus dispositivos à medida que os patches se tornarem disponíveis e a instalar aplicativos apenas de locais confiáveis, como a Google Play Store”, declarou a empresa.
Fonte: Ars Technica
Tags: