900 млн Android-устройств под угрозой из-за четырех «дыр» в процессорах Qualcomm

Безопасность Стратегия безопасности Техника
мобильная версия
, Текст: Сергей Попсулин

Четыре уязвимости в чипсетах Qualcomm поставили под угрозу пользователей 900 млн Android-устройств. Компания уже выпустила обновления, но неизвестно, кто из производителей и операторов уже предоставил их пользователям.


Уязвимости в продукции Qualcomm

Продукция Qualcomm содержит четыре уязвимости, каждая из которых позволяет получить к операционной системе устройства доступ с правами администратора. Исследователи компании Check Point Software Technologies присвоили всей группе уязвимостей название QuadRooter.

Qualcomm - самый популярный производитель чипсетов для смартфонов и планшетов. По данным ABI Research, в 2015 г. компания заняла 65% мирового рынка LTE-чипсетов.

Охват устройств

QuadRooter содержится в Samsung Galaxy S7 и S7 Edge, LG G4, LG G5 и LG V10, Motorola Moto X, Sony Xperia Z Ultra, Nexus 5X, Nexus 6 и Nexus 6P, HTC One, HTC M9 и HTC 10, OnePlus One, OnePlus 2 и OnePlus 3, BlackBerry Priv, а также в смартфонах Blackphone 1 и Blackphone 2 с усиленной защитой и др. Все эти смартфоны оснащаются чипсетами Qualcomm, которые можно взломать.

В общей сложности QuadRooter, по словам исследователей Check Point, затрагивает свыше 900 млн устройств.

Сложный способ устранения уязвимостей

Уязвимости содержатся в драйверах, вместе с которыми поставляются чипсеты Qualcomm. Они предназначены для управления чипсетами и организации взаимодействия их различных компонентов. Драйвера интегрируются производителями устройств в прошивки аппаратов.

Qualcomm уже устранила уязвимости со своей стороны

Таким образом, единственный способ устранить уязвимости — получить соответствующие обновления от Qualcomm и распространить их среди владельцев устройств. Сделать это могут только производители смартфонов и планшетов и операторы, которые сами занимаются дистрибуцией.

Что позволяют уязвимости

При эксплуатации QuadRooter злоумышленники могут получить полный доступ к персональным данным пользователя на устройстве, которые не были зашифрованы, может установить кейлоггер (считыватель клавиатуры), отслеживать текущее местоположение владельца, включать камеру и микрофон. 

Текущая ситуация

Исследователи из Check Point еще в начале 2016 г. передали всю информацию об уязвимостях компании Qualcomm. Та, в свою очередь, исправила все четыре уязвимости со своей стороны и предоставила обновления производителям устройств и сотовым операторам. Однако непонятно, кто из них уже распространил обновления.

Представитель Google сообщил газете Financial Times, что пользователи, установившие новейшую версию Android со всеми обновлениями, защищены от трех из четырех уязвимостей QuadRooter. Последнюю «заплатку» планируется выпустить в ближайшее время. Он не уточнил, о каких устройствах идет речь.