Qualcomm bezvadu mikroshēmu kaudzē trīs ievainojamības, kas norādītas ar koda nosaukumu “QualPwn”. Pirmajā izdevumā (CVE-2019-10539) Android ierīcēm var attālināti uzbrukt, izmantojot Wi-Fi. Otrā problēma ir saistīta ar patentētu programmaparatūru ar Qualcomm bezvadu steku un ļauj piekļūt bāzes joslas modemam (CVE-2019-10540). Trešā problēma icnss draiverī (CVE-2019-10538) un ļauj sasniegt tā koda izpildi Android platformas kodola līmenī. Ja šo ievainojamību kombinācija tiek veiksmīgi izmantota, uzbrucējs var attālināti iegūt kontroli pār lietotāja ierīci, kurā ir aktīvs Wi-Fi (uzbrukumam ir nepieciešams, lai upuris un uzbrucējs būtu savienoti ar vienu un to pašu bezvadu tīklu).
Uzbrukuma iespējas tika demonstrētas Google Pixel2 un Pixel3 viedtālruņiem. Pētnieki lēš, ka problēma potenciāli skar vairāk nekā 835 tūkstošus ierīču, kuru pamatā ir Qualcomm Snapdragon 835 SoC un jaunākas mikroshēmas (sākot ar Snapdragon 835, WLAN programmaparatūra tika integrēta modema apakšsistēmā un darbojās kā izolēta lietojumprogramma lietotāju telpā). Autors Qualcomm, problēma skar vairākus desmitus dažādu mikroshēmu.
Pašlaik ir pieejama tikai vispārīga informācija par ievainojamībām un sīkāka informācija tiks atklāts 8. augustā Black Hat konferencē. Qualcomm un Google tika informēti par problēmām martā un jau ir izlaiduši labojumus (Qualcomm informēja par problēmām , un Google ir novērsis ievainojamības Android platformas atjauninājums). Visiem ierīču lietotājiem, kuru pamatā ir Qualcomm mikroshēmas, ieteicams instalēt pieejamos atjauninājumus.
Papildus problēmām, kas saistītas ar Qualcomm mikroshēmām, Android platformas augusta atjauninājums novērš arī kritisko ievainojamību (CVE-2019-11516) Broadcom Bluetooth kaudzē, kas ļauj uzbrucējam izpildīt savu kodu priviliģēta procesa kontekstā. nosūtot īpaši izstrādātu datu pārsūtīšanas pieprasījumu. Android sistēmas komponentos ir novērsta ievainojamība (CVE-2019-2130), kas var atļaut koda izpildi ar paaugstinātām privilēģijām, apstrādājot īpaši izstrādātus PAC failus.
Avots: opennet.ru