Sajnos eléggé általános az, hogy egy modern okostelefonnál sebezhetőséget találnak. A Google havi szinten több tucat különböző biztonsági hiányosságot kezelni például az Android rendszeres frissítéseivel. Az viszont már a ritkább esetek közá tartozik, hogy egy olyan súlyos hibára bukkanjanak, mint amire a napokban fény derült a Qualcomm háza táján.
Egy nulladik napi sebezhetőség bukott ki, melynek kapcsán a chiptervező azt is kénytelen volt megerősíteni, hogy ismeretlen elkövetők ki is használták.
A sebezhetőséget már korábban feltárták, de biztonsági okokból mostanáig erről nem esett szó, a javításra ugyanis várni kellett. A biztonsági rés a CVE-2024-43047 azonosítót kapta, és mostanra befoltozták, frissítésekkel lehet a javítást alkalmazni az eszközökön. A zero-day sebezhetőség kapcsán a Qualcomm megjegyezte, hogy korlátozottan, de valószínűleg visszaélést is elkövettek vele.
Olyan chipekben találták a hibát, amiket egyebek mellett nagy népszerűségnek örvendő, Android operációs rendszerű okostelefonokban is meg lehet találni. De igazság szerint ez a hiba egyáltalán nem korlátozódik az androidos eszközökre, chipek hada rejti a szóban forgó sérülékenységet, és ezeket egészen változatos helyeken lehet fellelni.
Összesen 64 (!) különböző Qualcomm komponensben lapult meg a sebezhetőség, amiről elvileg a Qualcommnak nem volt tudomása, külső elemzés révén értesültek erről.
Érthető módon a sebezhetőségről túl sok részletet nem tudhattunk meg, de látni kell azt, hogy tényleg egészen érdekes egységeket is érintett. A biztonsági rést rejtő lapkák névsorában ott van a Snapdragon 8 Gen 1, a Snapdragon 888, de egyebek mellett például a régi Snapdragon 660 is. Viszont a Snapdragon chipeken túl érintett számos FastConnect kapcsolati alrendszer is, ezáltal még több okostelefon lehetett ennek kitéve, és ez még mindig csak a jéghegy csúcsa.
Olyan lapkákban is ott van a nulladik napi sebezhetőség, amik személyautókba lettek tervezve (pl. QAM8295P), de egy sor különböző Wi-Fi és Bluetooth chip is szerepel a Qualcomm által megosztott felsorolásban. Különböző alkalmazásprocesszorok is érintettek, továbbá a viselhető kiegészítőkbe szánt Snapdragon Wear termékvonal több tagjáról is kiderült, hogy ott van bennük a CVE-2024-43047 hiba. Ami pedig már végképp extrém, hogy még a Qualcomm Aqstic több hangszóró erősítője is szerepel a listán (pl. WSA8830).
A hibáról a Google Threat Analysis Group (TAG) csapata értesítette a Qualcomm szakembereit. Nagyon érdekes, hogy a TAG egy olyan csoport a Google kiberbiztonsági részlegén, ami célzottan a kormányzati hackertámagások megfékezésével foglalkozik, a cég felhasználói védelmezését szem előtt tartva. Az Amnesty International biztonsági csoportja is megerősítette a Google által felfedezett sebezhetőséget, és azt is, hogy ezzel visszaélést is elkövethettek. CISA kiberbiztonsági ügynökség is felvette a kihasznált hibák listájára a CVE-2024-43047 sebezhetőséget.
Arról nincs információ, hogy pontosan ki használhatta ki élesben a biztonsági rést, és azt sem ismerették, hogy kik lehettek a célpontjai a támadásnak. Ilyen sérülékenységekkel akár egészen komoly kibertámadásokat lehet megszervezni. az Amnesty egy részletesebb elemzéssel is készül, amiben feltárhatja az ügy részleteit.
Az elejtett információmorzsákból arra lehet következtetni, hogy nem tömegek, hanem kiemelt célpontok lehettek az áldozatai. Jó eséllyel kormányzati megfigyelésben lehetett ennek szerepe.
A Google annyit tett hozzá, hogy a javítás még szeptemberben megszületett, és az androidos eszközökre biztonsági frissítéssel jut el.
Mondanunk sem kell, hogy mi ezzel a gond. A rendkívül fragmentált Android ökoszisztémában a biztonsági frissítéseket közel sem kapja meg az összes okostelefon. A hiba több száz millió mobilt érint, ráadásul ezeknek a jelentős része régebben jelent meg. Valószínűleg az érintett eszközöknek csak egy kis töredéke kapja meg a biztonsági foltot.
