Over 1 milliard Android enheder i fare

Qualcomm Snapdragon chip sikkerhedsfejl
Over 1 milliard Android enheder i fare på grund af Snapdragon sårbarheder. På den seneste DEF CON hacker-konference i weekenden præsenterede forskere fra cybersikkerhedsfirmaet CheckPoint en detaljeret undersøgelse, hvor de hævdede, at Digital Signal Processor (DSP) chips på Qualcomm Snapdragon processorer har "over 400 sårbarheder", som udgør en massiv trussel til mobiltelefonbrugere over hele verden.

DSP-chips muliggør en række opgaver på smartphones, herunder billedbehandling, opladning, lyd, video, AR og andre multimediefunktioner. Telefonproducenter kan også gøre brug af disse chips til at indsætte deres egen funktionalitet, der vil køre som dedikerede applikationer oven på den eksisterende framework.

En række førende smartphone-leverandører, herunder Samsung, Google, Xiaomi og andre, bruger Qualcomm chips på deres enheder. Ifølge CheckPoint bruger over 40% af Android enheder Qualcomm-chips. Der er omkring 3 milliarder Android enheder i verden, hvilket betyder, at denne form for risici påvirker over 1 milliard af disse.

Checkpoint rapporterede resultaterne af forskningen, kaldet ”Achilles”, til Qualcomm tidligere på året, og chipproducenten har allerede frigivet en rettelse for manglerne. I en erklæring sagde Qualcomm:

“Regarding the Qualcomm Compute DSP vulnerability disclosed by Check Point, we worked diligently to validate the issue and make appropriate mitigations available to OEMs. We have no evidence it is currently being exploited. We encourage end users to update their devices as patches become available and to only install applications from trusted locations such as the Google Play Store”.

Ifølge CheckPoint skal Google dog endnu ikke indarbejde programrettelsen i AOSP, og ingen af de berørte leverandører har rullet rettelserne ud til deres respektive enheder. I mangel af en global opdatering tilbageholder CheckPoint tekniske detaljer om sårbarhederne.

Du kan lære flere tekniske detaljer på den officielle CheckPoint blog.