በ Qualcomm ሽቦ አልባ ቺፕ ቁልል ውስጥ በ "QualPwn" ኮድ ስም የቀረቡ ሶስት ተጋላጭነቶች. የመጀመሪያው እትም (CVE-2019-10539) የአንድሮይድ መሳሪያዎች በWi-Fi በርቀት ጥቃት እንዲደርስባቸው ይፈቅዳል። ሁለተኛው ችግር ከ Qualcomm ሽቦ አልባ ቁልል ጋር በባለቤትነት firmware ውስጥ አለ እና ወደ ቤዝባንድ ሞደም (CVE-2019-10540) መዳረሻ ይፈቅዳል። ሦስተኛው ችግር በ icnss ሾፌር (CVE-2019-10538) እና በ Android የመሳሪያ ስርዓት የከርነል ደረጃ ላይ የእሱን ኮድ አፈፃፀም ለማሳካት ያስችላል። የእነዚህ ተጋላጭነቶች ጥምረት በተሳካ ሁኔታ ጥቅም ላይ ከዋለ አጥቂው ዋይ ፋይ የሚሰራበትን የተጠቃሚውን መሳሪያ በርቀት መቆጣጠር ይችላል (ጥቃቱ ተጎጂውን እና አጥቂውን ከተመሳሳይ የገመድ አልባ አውታረ መረብ ጋር መገናኘት አለበት)።
ለጎግል ፒክስል2 እና ፒክስል 3 ስማርት ስልኮች የማጥቃት አቅሙ ታይቷል። ተመራማሪዎች ችግሩ በ Qualcomm Snapdragon 835 SoC እና አዳዲስ ቺፖችን መሰረት በማድረግ ከ835 ሺህ በላይ መሳሪያዎችን ሊጎዳ እንደሚችል ይገምታሉ (ከ Snapdragon 835 ጀምሮ የWLAN firmware ከሞደም ንኡስ ሲስተም ጋር የተቀናጀ እና በተጠቃሚ ቦታ ውስጥ እንደ ገለልተኛ መተግበሪያ ይሰራ ነበር)። በ Qualcomm፣ ችግሩ በበርካታ ደርዘን የተለያዩ ቺፖችን ይነካል።
በአሁኑ ጊዜ ስለ ድክመቶች አጠቃላይ መረጃ ብቻ እና ዝርዝሮች ይገኛሉ በኦገስት 8 በጥቁር ኮፍያ ኮንፈረንስ ላይ ይገለጣል. Qualcomm እና Google በማርች ውስጥ ስለችግሮቹ ማሳወቂያ ተደርገዋል እና ማስተካከያዎችን አስቀድመው አውጥተዋል (Qualcomm በ ውስጥ ስላሉት ችግሮች አሳውቋል) እና Google በ ውስጥ ቋሚ ተጋላጭነቶች አሉት የአንድሮይድ መድረክ ዝመና)። በ Qualcomm ቺፕስ ላይ የተመሰረቱ ሁሉም የመሣሪያዎች ተጠቃሚዎች ያሉትን ዝመናዎች እንዲጭኑ ይመከራሉ።
ከ Qualcomm ቺፕስ ጋር ከተያያዙ ጉዳዮች በተጨማሪ የነሀሴ ወር የአንድሮይድ መድረክ ማሻሻያ በBroadcom ብሉቱዝ ቁልል ውስጥ ያለውን ወሳኝ ተጋላጭነት (CVE-2019-11516) ያስወግዳል፣ይህም አጥቂ በልዩ ልዩ ሂደት ውስጥ ኮዳቸውን እንዲፈጽም ያስችለዋል። በልዩ ሁኔታ የተሰራ የውሂብ ማስተላለፍ ጥያቄ በመላክ ላይ። አንድ ተጋላጭነት (CVE-2019-2130) በልዩ የተቀረጹ የPAC ፋይሎችን ሲሰራ ከፍ ባለ ልዩ መብቶች ሊፈቅዱ በሚችሉ የአንድሮይድ ሲስተም አካላት ውስጥ ተፈትቷል።
ምንጭ: opennet.ru