ProHoster > Блог > интернет жаңалықтары > Wi-Fi арқылы Android құрылғысына шабуыл жасауға мүмкіндік беретін Qualcomm чиптеріндегі осалдық

Wi-Fi арқылы Android құрылғысына шабуыл жасауға мүмкіндік беретін Qualcomm чиптеріндегі осалдық

Qualcomm сымсыз чип стекінде ашылды «QualPwn» код атауымен ұсынылған үш осалдық. Бірінші шығарылым (CVE-2019-10539) Android құрылғыларына Wi-Fi арқылы қашықтан шабуыл жасауға мүмкіндік береді. Екінші мәселе Qualcomm сымсыз стегі бар меншікті микробағдарламада бар және негізгі жолақты модемге (CVE-2019-10540) қол жеткізуге мүмкіндік береді. Үшінші мәселе қазіргі icnss драйверінде (CVE-2019-10538) және оның кодының Android платформасының ядро ​​деңгейінде орындалуына қол жеткізуге мүмкіндік береді. Егер осы осалдықтардың тіркесімі сәтті пайдаланылса, шабуылдаушы Wi-Fi белсенді пайдаланушы құрылғысын қашықтан басқаруға қол жеткізе алады (шабуыл құрбаны мен шабуылдаушы бір сымсыз желіге қосылуын талап етеді).

Шабуыл мүмкіндігі Google Pixel2 және Pixel3 смартфондары үшін көрсетілді. Зерттеушілер бұл мәселе Qualcomm Snapdragon 835 SoC және жаңа микросхемалар негізіндегі 835 мыңнан астам құрылғыларға әсер етуі мүмкін деп есептейді (Snapdragon 835-тен бастап, WLAN микробағдарламасы модемнің ішкі жүйесімен біріктірілген және пайдаланушы кеңістігінде оқшауланған қолданба ретінде жұмыс істейді). Авторы деректер Qualcomm, мәселе бірнеше ондаған түрлі чиптерге әсер етеді.

Қазіргі уақытта осалдықтар туралы жалпы ақпарат және егжей-тегжейлер ғана қолжетімді жоспарланған 8 тамызда Black Hat конференциясында ашылады. Qualcomm және Google проблемалар туралы наурыз айында хабардар болды және қазірдің өзінде түзетулерді шығарды (Qualcomm маусым есебі, және Google-де осалдықтарды түзетеді тамыз Android платформасын жаңарту). Qualcomm чиптеріне негізделген құрылғылардың барлық пайдаланушыларына қол жетімді жаңартуларды орнату ұсынылады.

Qualcomm чиптеріне қатысты мәселелерден басқа, Android платформасының тамыз айындағы жаңартуы Broadcom Bluetooth стекіндегі маңызды осалдықты (CVE-2019-11516) жояды, бұл шабуылдаушыға артықшылықты процесс контексінде өз кодын орындауға мүмкіндік береді. арнайы жасалған деректерді беру сұрауын жіберу. Android жүйесінің құрамдастарында арнайы жасалған PAC файлдарын өңдеу кезінде жоғары артықшылықтармен кодты орындауға мүмкіндік беретін осалдық (CVE-2019-2130) шешілді.

Ақпарат көзі: opennet.ru

пікір қалдыру