Az okostelefonokban sajnos nem ritka, hogy a biztonsági kutatók sérülékenységeket találnak, és bizony vannak olyan esetek, amelyek kirívóan súlyosak. Ilyen a mostani is. A Check Point Research annyira súlyos hibákat tárt fel, hogy a sérülékenységeket egyszerűen „Achilles” névre keresztelték, és kiemelt titkosítás mellett kezelik az információkat.

A Check Point munkatársai a Qualcomm rendszerchipekben található digitális jelfeldolgozó egységet vizsgálták, amikor váratlanul sok és súlyos hibára bukkantak a kódban. A cégek nem ritkán kérnek fel külső elemzőket azért, hogy a sérülékenységeket feltárják, és így került most a Check Pointnál a figyelem középpontjába a Qualcomm által alkalmazott DSP is.

Az lényegében borítékolható, hogy a szakemberek találnak sérülékenységeket a komponensekben, de a Check Point által feltárt sérülékenység szerencsére eléggé ritka a veszélyességét és a kiterjedtségét tekintve egyaránt. Az Achilles sérülékenység négyszáznál is több olyan kódrészletre terjed ki, amelyen keresztül különböző támadásokat lehet végrehajtani az okostelefonok ellen. Az elemzők a legkülönbözőbb sebezhetőségekre bukkantak, és néhányat ki is emeltek.

A kiberbűnözők tökéletes kémeszközzé tudják változtatni a mobilokat anélkül, hogy a felhasználó részéről bármilyen interakcióra lenne szükség. Ki lehet szűrni az okostelefonokról olyan adatokat, mint a kamerával készült felvételek, a rögzített hívások hanganyagai, a GPS és egyéb lokációs információk, de akár valós időben is lehet hallgatózni a mikrofonon keresztül. A támadók megtehetik, hogy teljesen használhatatlan legyen egy időre – vagy akár permanensen is – a mobil, így akár minden szolgáltatástól is elvághatják a tulajdonosokat. És a fertőzések képesek lehetnek a tevékenységüket teljesen elfedni, sőt mi több, eltávolíthatatlanná is válhatnak.

A dolgot tovább súlyosbítja, hogy a Qualcomm igazából messze a legnagyobb piaci részesedéssel rendelkező vállalat. Főleg a felsőkategóriában alkalmazzák kiemelkedően sokan, de az alsóbb ársávokban is dominál. Az aktív használatban levő okostelefonoknak nagyjából a 40 százalékában van ott a Qualcomm lapkája. Ilyeneket alkalmaz a Google, a Samsung, az LG, a Xiaomi, a OnePlus, és lehetne még napestig sorolni a vállalatok nevét. Szóval milliárdos nagyságrendű lehet az érintett termékek száma.

A Check Point Research természetesen mindent megtesz azért, hogy ezek a sebezhetőségek titokban maradjanak. A vállalat kiemelt óvatossággal kezeli az információkat, és arra törekedik, hogy a lehetőségeihez mérten mindent megtegyen azért, hogy az érintett vállalatok képesek legyenek javítani a hibákat, és a javításokat eljuttassák a mobilokra. A Qualcommal való egyeztetések során a Check Point Research megtudta, hogy a vállalat részben tisztában van a sebezhetőségekkel, ezeket már rögzítették, és felvették a kapcsolatot a partnereikkel.

A javítások célba juttatásában a Google fontos szerepe lesz majd. Jó esély van arra, hogy a havi rendszerességgel érkező javításcsomagokban meg fognak jelenni az Achilleshez kapcsolódó foltok is. A Google-nél a rendszeres biztonsági frissítésekben egyébként is túlnyomó többségben szoktak lenni az olyan javítások, amelyek a Qualcomm lapkáival vagy az azokhoz kapcsolódó komponensekkel kapcsolatosak.

Reményeink szerint nem történik visszaélés egyetlen esetben sem, és a Qualcomm a jövőben jobban ügyel majd a biztonságra.