A empresa de segurança Check Point Research descobriu uma falha em chips da Qualcomm que, estima-se, afeta mais de 30% dos celulares Android ativos no mundo. A vulnerabilidade pode ser explorada para uma série de ações maliciosas, entre elas, espionar as chamadas telefônicas do usuário.
- Intel e AMD voltam a ser assombradas por falhas Spectre em chips
- Snapdragon 780G 5G é um chip de 5 nm para celulares intermediários premium
Qualcomm Snapdragon (imagem: divulgação/Qualcomm)
O problema afeta o Mobile Station Modem (MSM) da Qualcomm, um tipo de chip desenvolvido no começo dos anos 1990 e que, desde então, já ganhou várias versões. Hoje, o componente é responsável por muitos dos recursos de comunicação 4G e 5G de celulares atuais, incluindo modelos de marcas como Samsung, Xiaomi e OnePlus.
Identificada como CVE-2020-11292, a vulnerabilidade tem relação com a Qualcomm MSM Interface (QMI), um protocolo proprietário que possibilita que componentes de software do modem se comuniquem com subsistemas periféricos do aparelho (como o que controla as câmeras).
Basicamente, o que os pesquisadores da Check Point descobriram é que serviços associados ao MSM podem ser interceptados por meio do QMI.
A partir daí, o invasor pode injetar código malicioso no modem do aparelho para, entre outras ações possíveis, ter acesso ao histórico de chamadas ou de SMS, desbloquear um SIM card sem passar pelas restrições implementadas pela operadora e até ouvir as chamadas do usuário.
Qualcomm já tem correção
O problema é crítico, mas, felizmente, já tem solução. A Check Point divulgou a vulnerabilidade publicamente nesta semana, mas notificou a Qualcomm em outubro de 2020, dando tempo para que a companhia pudesse providenciar uma correção.
Em nota, a Qualcomm informou:
Prover tecnologias que suportam segurança e privacidade robustas é uma prioridade para a Qualcomm. Nós elogiamos os pesquisadores de segurança da Check Point por usarem práticas de divulgação coordenadas que são padrão na indústria.
A Qualcomm Technologies disponibilizou correções para OEMs [fabricantes] em dezembro de 2020 e encorajamos os usuários finais a atualizarem seus dispositivos conforme patches forem liberados.
Indiretamente, a nota da Qualcomm deixa claro que a correção depende dos cronogramas de atualizações de cada fabricante de celular. Nesse sentido, a companhia recomenda que o usuário que quiser mais detalhes sobre a correção entre em contato com a fabricante de seu dispositivo.
Não há informação sobre a proporção de aparelhos que continuam sem a atualização. Diante disso e da possibilidade de um número muito grande de dispositivos ainda estarem vulneráveis, a Check Point decidiu divulgar o problema sem revelar todos os detalhes técnicos relacionados.
Com informações: Ars Technica.