Každý druhý Android telefon lze špehovat a zneužít: V ohrožení jsou stovky milionů zařízení

Výzkumníci odhalili více než 400 zranitelností v čipech Qualcomm, na nichž staví přes 40 % Android telefonů po celém světě. Týká se to i vlajkových lodí od Google, LG, Samsungu, Xiaomi, OnePlus a dalších. Útočníci mohou prostřednictvím zranitelností špehovat telefony se systémem Android, skrývat útoky nebo telefon „zmrazit“.

  • Odhaleny byly stovky zranitelných částí kódu v DSP čipech Qualcomm (Digital Signal Processor).
  • V ohrožení je téměř každý druhý telefon se systémem Android.
  • Přestože Qualcomm zranitelnosti opravil, opravy musí implementovat i prodejci telefonů, což může trvat měsíce i roky.

Výzkumný tým společnosti Check Point Software Technologies, předního světového poskytovatele kyberbezpečnostních řešení, odhalil více než čtyři stovky zranitelných částí kódu DSP čipu Qualcomm, což se týká více než 40 % telefonů po celém světě. DSP čip Qualcommu se nachází téměř ve všech telefonech Android, včetně špičkových modelů od společností Google, Samsung, LG, Xiaomi, OnePlus a dalších. Výzkumný tým kyberbezpečnostní společnosti Check Point popsal významná bezpečnostní rizika spojená s více než 400 zranitelnostmi v Qualcomm DSP čipu ve výzkumné zprávě označené jako „Achilles“.

Obrázek: Každý druhý Android telefon lze špehovat a zneužít: V ohrožení jsou stovky milionů zařízení

Jak mohou útočníci zranitelnosti využít?

1. Špionáž. Útočníci mohou proměnit libovolný Android telefon v dokonalý špionážní nástroj. Uživatelé mohou přijít například o fotografie, videa, údaje o poloze nebo lze telefon zneužít k odposlouchávání pomocí mikrofonu nebo k nahrávání hovorů.

2. „Zamrznutí“ telefonu. Útočníci mohou s využitím zranitelností udělat mobilní telefon nefunkční. Všechny informace uložené v telefonu tak budou trvale nedostupné – včetně fotografií, videí, kontaktních údajů atd.

3. Maskování škodlivých aktivit. Hackeři mohou pomocí zranitelností zamaskovat své útoky a škodlivé aktivity a zajistit, aby malware nešel ze zařízení odstranit.

Pro zneužití zranitelností stačí hackerům jednoduše přesvědčit oběť k nainstalování neškodné aplikace, která nepotřebuje žádná oprávnění.

Nepřehlédněte: Problémem mnoha Android zařízení zůstávají chybějící aktualizace. Miliarda mobilů se systémem Android je ohrožena. Jak se chránit před hackery?

Co je to DSP?

DSP je zkratka pro digitální signálový procesor. DSP se zaměřuje na práci se signály v reálném čase a jejich přeměnu na zpracovatelná data. DSP technologie najdete uvnitř sluchátek, chytrých telefonů, chytrých reproduktorů, automobilů a řady dalších zařízení. DSP v chytrém telefonu například dekóduje soubory MP3, u písniček vylepšuje basy, pomáhá s výpočty pro aktivní potlačení šumu a rozpoznává váš hlas, když řeknete „Ahoj, Google!“. Jednoduše řečeno lze DSP přirovnat k samostatnému počítači v těle jednoho čipu. A téměř každý moderní telefon má alespoň jeden z těchto čipů.

Obrázek: Každý druhý Android telefon lze špehovat a zneužít: V ohrožení jsou stovky milionů zařízení

DSP jako nové místo útoků

Check Point ve zprávě upozorňuje, že DSP je pro hackery lákadlem a novou cestou, jak proniknout do mobilních zařízení. DSP čipy jsou mnohem zranitelnější, protože jsou spravovány jako „černé skříňky“ a je tak pro kohokoli mimo výrobce složité zkontrolovat design, funkčnost nebo kód. Qualcomm i příslušní výrobci mobilních telefonů byli o problému informováni.

Bezpečnostní specialisté se rozhodli nezveřejnit technické detaily, dokud výrobci mobilních telefonů nebudou mít komplexně vyřešené odstranění všech souvisejících rizik. Zároveň je ale důležité na problém upozornit. S detailními informacemi byli kontaktováni příslušní vládní úředníci a mobilní výrobci a odborníci s nimi spolupracují na zvýšení bezpečnosti mobilních telefonů. Zmíněné zranitelnosti se netýkají iPhonů.

Ačkoli Qualcomm problém vyřešil, celý příběh tím zdaleka nekončí, v ohrožení jsou stovky milionů telefonů. Hrozí špehování nebo ztráta dat. Náš výzkum ukazuje, jak složitý je mobilní ekosystém. Dodavatelský řetězec je velmi široký, takže není snadné odhalit a opravit skryté hrozby, naštěstí jsme tentokrát dokázali nebezpečné zranitelnosti odhalit. Ovšem předpokládáme, že úplné odstranění souvisejících problémů a rizik může trvat měsíce nebo i roky. Pokud by takové zranitelnosti nalezli a zneužili kyberzločinci, miliony uživatelů by byly snadným terčem,“ říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point.

Nyní je na výrobcích, jako jsou Google, Samsung, Xiaomi a další, aby integrovali záplaty do svých telefonů. Podle našich odhadů to ovšem bude chvíli trvat. Proto nyní vzhledem k vysokému riziku nezveřejňujeme plné technické detaily, aby se nedostaly do nesprávných rukou. Uživatelé nemusí jen pasivně čekat, až výrobci záplaty implementují, protože Check Point nabízí ochranu i před zneužitím těchto zranitelností pomocí komplexního mobilního bezpečnostního řešení.

Odebírat
Upozornit na
guest
0 Komentářů
Inline Feedbacks
View all comments
Obrázek: Amazon oznámil vlastní cloudovou herní platformu Luna
Amazon oznámil vlastní cloudovou herní platformu Luna
Obrázek: Už žádné placené doplňky k Chromu. Google mění pravidla
Už žádné placené doplňky k Chromu. Google mění pravidla
Obrázek: Muskův startup Neuralink implantuje čipy do mozku. Má řešit poranění míchy či trvalé poškození mozku
Muskův startup Neuralink implantuje čipy do mozku. Má řešit poranění míchy či trvalé poškození mozku
Obrázek: Canon reaguje na nedostatek webkamer na trhu: Stačí fotoaparát a program do PC
Canon reaguje na nedostatek webkamer na trhu: Stačí fotoaparát a program do PC
Obrázek: VPN řešení pro firmy zcela zdarma? Synology překvapilo a nabízí licenci na svou VPN Plus až do září 2021
VPN řešení pro firmy zcela zdarma? Synology překvapilo a nabízí licenci na svou VPN Plus až do září 2021
Obrázek: Canon reaguje na nedostatek webkamer na trhu: Stačí fotoaparát a program do PC
Canon reaguje na nedostatek webkamer na trhu: Stačí fotoaparát a program do PC
Obrázek: Problém se zvukem po namočení telefonu: Reproduktor chrastí a nehraje nahlas. Jak vše napravit?
Problém se zvukem po namočení telefonu: Reproduktor chrastí a nehraje nahlas. Jak vše napravit?
Obrázek: Netflix zdarma i v Česku: Bez registrace si pustíte i legendární Stranger Things
Netflix zdarma i v Česku: Bez registrace si pustíte i legendární Stranger Things
Obrázek: Webkamery se stále špatně shánějí: Jak si vyrobit webkameru z mobilu?
Webkamery se stále špatně shánějí: Jak si vyrobit webkameru z mobilu?

Jak si vyrobit webkameru? Pokud nemáte webkameru a právě jste zjistili, že obchodě jsou cenově dostupné modely vyprodané nebo i...

Zavřít