O universo dos smartphones Android é, em grande parte, equipado por componentes da Qualcomm. Samsung, Xiaomi, OnePlus ou Google, são apenas algumas das muitas marcas que confiam nela para equipar os seus smartphones.
No entanto, foram agora detetadas mais de 400 vulnerabilidades associadas ao chip DSP que colocam em causa a segurança e privacidade dos seus utilizadores.
Qualcomm – Mais de 400 smartphones em todo o mundo com vulnerabilidades críticas
Uma investigação recente levada a cabo pela Check Point Research revelou que os chips DSP da Qualcomm, apresentam mais de 400 vulnerabilidades. Este componente, Digital Signal Processor, é uma das soluções mais utilizadas pelos dispositivos Android. Principalmente em equipamentos de topo, onde se destacam marcas como a Samsung, Xiaomi ou OnePlus.
Segundo os especialistas, os cibercriminosos poderiam assim aproveitar-se destas falhas de segurança para espiar milhões de utilizadores de todo o mundo.
O que é um DSP
Um DSP é um sistema presente num chip que tem um hardware e um software desenhados para otimizar e permitir o uso de qualquer área do dispositivo. As funcionalidades de carregamento rápido, experiências multimédia, como reprodução ou captação de vídeo, funcionalidades de realidade aumentada, são algumas ações associadas a este componente.
Contundo, os DSP da Qualcomm analisados, representam uma nova base de ataques a dispositivos móveis. Os chips DPS são muito mais vulneráveis a riscos, uma vez que são geridos como “Black Boxes”. Assim, isto dificulta consideravelmente a resolução destes problemas por parte dos fornecedores dos dispositivos móveis, já que têm de ser tratados primeiro pelo próprio fabricante.
Como funcionam estas vulnerabilidades
As mais de 400 vulnerabilidades do chip DSP descobertas pelos investigadores da Check Point Research podem ter o seguinte impacto em utilizadores de telemóveis com o chip afetado:
- Os atacantes podem transformar o telemóvel numa ferramenta de espionagem, sem qualquer interação requerida ao utilizador – de entre a informação que pode ser extraída do telefone, incluem-se fotos, vídeos, gravações de chamadas, dados retirados do microfone em tempo real, GPS e localização, etc.
- Os atacantes podem anular constantemente a capacidade de resposta do telemóvel, isto é, indisponibilizar permanentemente toda a informação armazenada no dispositivo – incluindo fotos, vídeos, contactos, etc. Por outras palavras, um ataque Denial-of-Service (DoS) direcionado.
- Malware e outros códigos maliciosos podem ocultar completamente estas atividades, tornando-as irremovíveis.
Para tirar proveito destas vulnerabilidades, o atacante teria apenas de persuadir o alvo a instalar uma simples aplicação, sem sequer necessitar de permissões de acesso ao smartphone. As descobertas em questão foram partilhadas com a Qualcomm, que as identificou, notificando os fornecedores relevantes destes dispositivos.
Embora a Qualcomm já tenha identificado o problema, a história não acaba aqui. Milhões de smartphones continuam expostos a esta falha de segurança, o que significa que milhões de utilizadores podem ser espiados e até perder todos os seus dados. Pode levar meses ou até anos a acabar com o problema de forma definitiva, dada a complexidade do ecossistema do mundo dos dispositivos móveis. Portanto, agora depende da capacidade de marcas como a Google, Samsung ou Xiaomi, integrem estas patches na cadeia de fabricação dos seus smartphones, o que, todavia, implica que as vulnerabilidades se mantenham ativas.”
Referiu Yaniv Balmas, Diretor de Investigação da Check Point.