U Qualcommovom skupu bežičnih čipova tri ranjivosti predstavljene pod kodnim nazivom “QualPwn”. Prvi problem (CVE-2019-10539) omogućuje daljinski napad na Android uređaje putem Wi-Fi mreže. Drugi problem prisutan je u vlasničkom firmveru s Qualcomm bežičnim skupom i omogućuje pristup modemu osnovnog pojasa (CVE-2019-10540). Treći problem u upravljačkom programu icnss (CVE-2019-10538) i omogućuje postizanje izvršenja njegovog koda na razini jezgre Android platforme. Ako se kombinacija ovih ranjivosti uspješno iskoristi, napadač može daljinski preuzeti kontrolu nad korisničkim uređajem na kojem je aktivan Wi-Fi (napad zahtijeva da žrtva i napadač budu povezani na istu bežičnu mrežu).
Sposobnost napada demonstrirana je za pametne telefone Google Pixel2 i Pixel3. Istraživači procjenjuju da problem potencijalno utječe na više od 835 tisuća uređaja temeljenih na Qualcomm Snapdragon 835 SoC i novijim čipovima (počevši od Snapdragona 835, WLAN firmware bio je integriran s podsustavom modema i izvodio se kao izolirana aplikacija u korisničkom prostoru). Po Qualcomm, problem utječe na nekoliko desetaka različitih čipova.
Trenutno su dostupne samo opće informacije o ranjivostima i detalji biti otkriven 8. kolovoza na Black Hat konferenciji. Qualcomm i Google obaviješteni su o problemima u ožujku i već su objavili popravke (Qualcomm je obavijestio o problemima u , a Google je popravio ranjivosti u ažuriranje Android platforme). Svim korisnicima uređaja temeljenih na Qualcomm čipovima preporuča se instaliranje dostupnih ažuriranja.
Osim problema povezanih s Qualcomm čipovima, ažuriranje Android platforme u kolovozu također eliminira kritičnu ranjivost (CVE-2019-11516) u Broadcom Bluetooth skupu, što napadaču omogućuje da izvrši svoj kod u kontekstu privilegiranog procesa putem slanje posebno izrađenog zahtjeva za prijenos podataka. Ranjivost (CVE-2019-2130) je riješena u komponentama Android sustava koje bi mogle dopustiti izvršavanje koda s povišenim privilegijama prilikom obrade posebno izrađenih PAC datoteka.
Izvor: opennet.ru