Sa wireless chip stack ng Qualcomm tatlong mga kahinaan na ipinakita sa ilalim ng code name na "QualPwn". Ang unang isyu (CVE-2019-10539) ay nagbibigay-daan sa mga Android device na malayuang maatake sa pamamagitan ng Wi-Fi. Ang pangalawang problema ay nasa proprietary firmware na may Qualcomm wireless stack at nagbibigay-daan sa access sa baseband modem (CVE-2019-10540). Pangatlong problema sa icnss driver (CVE-2019-10538) at ginagawang posible na makamit ang pagpapatupad ng code nito sa antas ng kernel ng Android platform. Kung ang kumbinasyon ng mga kahinaang ito ay matagumpay na pinagsamantalahan, ang umaatake ay maaaring malayuang makakuha ng kontrol sa device ng isang user kung saan ang Wi-Fi ay aktibo (ang pag-atake ay nangangailangan na ang biktima at ang umaatake ay konektado sa parehong wireless network).
Ang kakayahan sa pag-atake ay ipinakita para sa Google Pixel2 at Pixel3 na smartphone. Tinataya ng mga mananaliksik na ang problema ay maaaring makaapekto sa higit sa 835 libong mga aparato batay sa Qualcomm Snapdragon 835 SoC at mas bagong mga chips (simula sa Snapdragon 835, ang firmware ng WLAN ay isinama sa subsystem ng modem at tumakbo bilang isang nakahiwalay na application sa espasyo ng gumagamit). Sa pamamagitan ng Qualcomm, ang problema ay nakakaapekto sa ilang dosenang iba't ibang mga chips.
Sa kasalukuyan, tanging pangkalahatang impormasyon tungkol sa mga kahinaan ang available, at mga detalye na isisiwalat sa Agosto 8 sa kumperensya ng Black Hat. Naabisuhan ang Qualcomm at Google tungkol sa mga problema noong Marso at naglabas na ng mga pag-aayos (ipinaalam ng Qualcomm ang tungkol sa mga problema sa , at inayos ng Google ang mga kahinaan sa pag-update ng platform ng Android). Ang lahat ng mga gumagamit ng mga device batay sa Qualcomm chips ay inirerekomenda na i-install ang magagamit na mga update.
Bilang karagdagan sa mga isyung nauugnay sa Qualcomm chips, inaalis din ng pag-update ng Agosto sa Android platform ang isang kritikal na kahinaan (CVE-2019-11516) sa Broadcom Bluetooth stack, na nagpapahintulot sa isang attacker na isagawa ang kanilang code sa konteksto ng isang privileged na proseso sa pamamagitan ng pagpapadala ng espesyal na ginawang kahilingan sa paglilipat ng data. Ang isang kahinaan (CVE-2019-2130) ay nalutas sa mga bahagi ng Android system na maaaring magpapahintulot sa pagpapatupad ng code na may mataas na mga pribilehiyo kapag nagpoproseso ng mga espesyal na ginawang PAC file.
Pinagmulan: opennet.ru