Η εταιρεία κυβερνοασφάλειας Check Point Research (CPR) ανακάλυψε μια ευπάθεια ασφαλείας στο mobile station modem (MSM) της Qualcomm, δηλαδή το chip που είναι υπεύθυνο για την επικοινωνία σε σχεδόν του 40% των τηλεφώνων παγκοσμίως.
Το συγκεκριμένο chip είναι υπεύθυνο για την επικοινωνία με τις κεραίες των παρόχων κινητής τηλεφωνίας σε αυτά τα τηλέφωνα, καθώς και για προηγμένα χαρακτηριστικά όπως η εγγραφή υψηλής ευκρίνειας. Το Qualcomm MSM βρίσκεται σε κινητά τηλέφωνα υψηλών επιδόσεων που προσφέρονται από εταιρείες όπως οι Google, Samsung, LG, Xiaomi και One Plus.
Εάν αξιοποιούνταν, η ευπάθεια αυτή θα μπορούσε να επιτρέψει σε έναν εισβολέα να εισάγει κακόβουλο κώδικα στο Qualcomm MSM από το ίδιο το λειτουργικό σύστημα Android, παρέχοντας στον εισβολέα πρόσβαση στο ιστορικό κλήσεων και στα μηνύματα SMS ενός χρήστη, καθώς και τη δυνατότητα να παρακολουθεί τις τηλεφωνικές συνομιλίες του χρήστη. Επιπλέον, η ευπάθεια θα μπορούσε δυνητικά να επιτρέψει σε έναν εισβολέα να ξεκλειδώσει τη SIM μιας συσκευής, ξεπερνώντας έτσι τους περιορισμούς που επιβάλλουν οι πάροχοι υπηρεσιών σε αυτήν.
Η CPR κοινοποίησε τα ευρήματα της έρευνάς της στην Qualcomm, η οποία επιβεβαίωσε το θέμα αυτό. Η Qualcomm ενημέρωσε τους αρμόδιους προμηθευτές κινητών τηλεφώνων και προέβη στην ακόλουθη ταξινόμηση: CVE-2020-11292.
«Τα μόντεμ chip συχνά θεωρούνται κυριότερα σημεία εισόδου για τους hackers στον κυβερνοχώρο, ειδικά αυτά που κατασκευάζει η Qualcomm. Μια επίθεση στα μόντεμ της Qualcomm μπορεί να επηρεάσει αρνητικά εκατοντάδες εκατομμύρια κινητά τηλέφωνα σε όλο τον κόσμο. Αποδείξαμε τελικά ότι υπήρχε μια επικίνδυνη ευπάθεια σε αυτά τα chip, αποκαλύπτοντας πώς ένας εισβολέας θα μπορούσε να χρησιμοποιήσει το ίδιο το Android OS για να εισάγει κακόβουλο κώδικα σε κινητά τηλέφωνα, χωρίς ανίχνευση», δήλωσε ο Yaniv Balmas, Head of Cyber Research at Check Point Software Technologies
«Πιστεύω ότι η πρόσφατη έρευνά μας αποτελεί ένα τεράστιο άλμα στον πολύ δημοφιλή τομέα της έρευνας γύρω από τα chip κινητών τηλεφώνων, καθώς οι έρευνες που αφορούσαν τον κώδικα του μόντεμ ήταν ιστορικά δύσκολες για τους ερευνητές ασφαλείας. Προχωρώντας προς τα εμπρός, ελπίζουμε ότι η έρευνα μας αυτή θα ανοίξει την πόρτα σε άλλους ερευνητές ασφαλείας για να βοηθήσουν την Qualcomm και άλλους προμηθευτές να δημιουργήσουν καλύτερα και ασφαλέστερα τσιπ, βοηθώντας μας να προωθήσουμε την καλύτερη προστασία και ασφάλεια στο διαδίκτυο για όλους. Το κύριο μήνυμά μου προς τους χρήστες του Android είναι να ενημερώνουν τις συσκευές τους με το πιο πρόσφατο λειτουργικό σύστημα».
Συμβουλές ασφαλείας για χρήστες Android
Παράλληλα, η Check Point εξέδωσε και μία λίστα με συμβουλές ασφαλείας προς τους χρήστες συσκευών Android:
- Ενημερώστε το κινητό σας με το τελευταίο λειτουργικό σύστημα. Οι φορητές συσκευές θα πρέπει πάντα να ενημερώνονται στην τελευταία έκδοση του λειτουργικού συστήματος για να προστατεύονται από την εκμετάλλευση ευπαθειών.
- Κατεβάστε εφαρμογές μόνο από τα επίσημα app stores. Εγκαταστήστε στο κινητό σας εφαρμογές που βρίσκονται στα επίσημα app stores, καθώς έτσι μειώνεται η πιθανότητα λήψης και εγκατάστασης ενός κακόβουλου λογισμικού
- Αξιοποιήστε τη δυνατότητα διαγραφής δεδομένων από απόσταση. Ενεργοποιήστε τη δυνατότητα «απομακρυσμένης διαγραφής» σε όλες τις κινητές συσκευές. Όλες οι συσκευές θα πρέπει να έχουν ενεργοποιημένη την απομακρυσμένη διαγραφή για να ελαχιστοποιηθεί η πιθανότητα απώλειας ευαίσθητων δεδομένων.
- Εγκαταστήστε μια λύση ασφαλείας στη συσκευή σας.
Latest News
H τεχνητή νοημοσύνη εμφανίζει σημεία άνοιας, λένε οι νευρολόγοι
Η τεχνητή νοημοσύνη υποβάλεται σε γνωσιακά τεστ στο πλαίσιο ανορθόδοξης μελέτης.
Η αξιοποίηση της AI φέρνει αύξηση εσόδων στις ΜμΕ - Έρευνα της Salesforce
Το 75% των ΜμΕ αξιοποιεί λύσεις τεχνητής νοημοσύνης έδειξε έρευνα της Salesforce ενώ το 91% των ΜμΕ που ήδη χρησιμοποιούν λύσεις τεχνητής νοημοσύνης καταγράφει σημαντική αύξηση εσόδων
Νέα χρηματοδότηση 65 εκατ. δολαρίων για την ICEYE - Στα 158 εκατ. το σύνολο για το 2024
Στον τρέχοντα γύρο χρηματοδότησης συμμετείχαν funds που διαχειρίζονται οι Solidium Oy, BlackRock, Seraphim, Plio Limited και ο Christo Georgiev
Πώς η ΑΙ γίνεται «όπλο» στα χέρια των εγκληματιών του Διαδικτύου
Οι προβλέψεις της εταιρείας κυβερνοασφάλειας Trend Micrο για τις κορυφαίες απειλές και τάσεις στον κυβερνοχώρο για το 2025
Η Ε.Ε. λαμβάνει μέτρα για ασφαλή προϊόντα τεχνολογίας
Ο νόμος για την κυβερνοανθεκτικότητα - Cybersecurity Resilience Act (CRA) υποχρεώνει κατασκευαστές, διανομείς και εισαγωγείς «έξυπνων» διασυνδεδεμένων συσκευών να τηρούν συγκεκριμένες προϋποθέσεις και προδιαγραφές
Αποστολή και λήψη SMS μέσω δορυφόρου, απευθείας από smartphone
Οι πρώτες επιτυχημένες δοκιμές της τεχνολογίας Direct to Handset (D2H) στην Ευρώπη για την αποστολή SMS μέσω δορυφόρου (NB-NTN Direct-to-Handset messaging)
Pegasus: Σε δίκη το χακάρισμα του WhatsApp από την ισραηλινή NSO
Αμερικανικό δικαστήριο απέρριψε τον ισχυρισμό της NSO ότι δεν φέρει φέρει νομική ευθύνη για τις χρήσεις του Pegasus.
Νέα έκδοση ψηφιακής πλατφόρμας ΑΙ για επιχειρήσεις από την Salesforce
Η ψηφιακή πλατφόρμα τεχνητής νοημοσύνης Agentforce 2.0 της Salesforce ενισχύει τις δυνατότητες επιχειρήσεων και εργαζομένων
ICEYE: Αναβάθμιση δυνατοτήτων με δύο νέους δορυφόρους SAR μεσαίας κλίσης
Οι δορυφόροι εκτοξεύθηκαν στο πλαίσιο της αποστολής Bandwagon-2 σε συνεργασία με τη SpaceX
Η Αλβανία «κλείνει» το TikTok για τουλάχιστον έναν χρόνο
«Θα το κλείσουμε για όλους τους χρήστες. Δεν θα υπάρχει TikTok», ανακοίνωσε ο Ράμα – Προηγήθηκε δολοφονία ενός 14χρονου από συμμαθητή του